CVE-2014-0106

Hallo Kinder! Wer mit /etc/sudoers dumm herumprobiert, statt Manuals zu lesen wird (spätestens in Zukunft) böse® böse® von anderen Script Kiddies (in Schland nennt man die Hacker) abgestraft. :-) An dieser Stelle greift also (fast!) das weltberühmte ;-) Zitat eines Telefonbuchverlages aus Hannover, Ronald Eickenberg im März 2014:


Die Schonfrist ist abgelaufen: Im Netz kursieren Details, wie man die kritische Schwachstelle (...) ausnutzt.

CVE-2014-0106CVE-2014-0106

Laut https://access.redhat.com/security/cve/CVE-2014-0106 ist die Auswirkung der Schwachstelle nur "Moderate". Das
ist völlig richtig, denn wer RHEL5 aus 2007 (End of Extended Life Phase 2020) betreibt, achtet mehr auf Sicherheit als
ein Ubuntu/Windows/etc. Admin und probiert nicht mit den Vorgabeeinstellungen herum. Und wer Sachen wie http://www-01.ibm.com/support/docview.wss?uid=isg3T1015997 liest, betreibt sowieso ein Single User System...


yum --changelog update
(...)
sudo-1.7.2p1-29.el5_10.i386
* Tue Mar 4 23:00:00 2014 Daniel Kopecek - 1.7.2p1-29
- added patch for CVE-2014-0106: certain environment variables not
sanitized when env_reset is disabled
Resolves: rhbz#1072210


man sudo
(...)
-E The -E (preserve environment) option will override the env_reset option
in sudoers(5)). It is only available when either the matching command
has the SETENV tag or the setenv option is set in sudoers(5).


man sudoers
(...)
env_reset If set, sudo will reset the environment to only contain the LOGNAME,
SHELL, USER, USERNAME and the SUDO_* variables. Any variables in the
caller’s environment that match the env_keep and env_check lists are
then added. The default contents of the env_keep and env_check lists
are displayed when sudo is run by root with the -V option. If the
secure_path option is set, its value will be used for the PATH
environment variable. This flag is on by default.

Die Schwachstelle wurde in https://bugzilla.redhat.com/show_bug.cgi?id=1071780
erstmals veröffentlicht:


Murray McAllister 2014-03-03 02:24:42 EST
It was found that, when the Sudo env_reset option was disabled (it is enabled by default), certain environment
variables were not blacklisted as expected. A local user authorized to run commands using sudo could use this
flaw to execute arbitrary code, allowing them to escalate their privileges.

This issue affects Sudo versions 1.6.9 to 1.8.4p5. Versions 1.8.5 and later are not affected.

Acknowledgements:

Red Hat would like to thank Todd C. Miller for reporting this issue. Upstream acknowledges Sebastien Macke as
the original reporter.

Kommentare

Siehe Mailingliste "oss-sec"

Siehe http://www.scip.ch/en/?vuldb.12510 und http://seclists.org/oss-sec/2014/q1/510


line diff
1.1 --- a/env.c Fri Feb 28 15:08:30 2014 -0700
1.2 +++ b/env.c Fri Feb 28 15:09:19 2014 -0700
1.3 @@ -950,7 +950,7 @@
1.4 okvar = matches_env_keep(var->value);
1.5 } else {
1.6 okvar = matches_env_delete(var->value) == FALSE;
1.7 - if (okvar == FALSE)
1.8 + if (okvar == TRUE)
1.9 okvar = matches_env_check(var->value) != FALSE;
1.10 }
1.11 if (okvar == FALSE) {

kurzzughalt