Vulnerabilidad en Sudo (CVE-2022-43995)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
02/11/2022
Última modificación:
05/05/2025
Descripción
Sudo 1.8.0 a 1.9.12, con el backend de contraseña crypt(), contiene un error de matriz fuera de límites plugins/sudoers/auth/passwd.c que puede provocar una sobrelectura del búfer. Esto puede ser activado por usuarios locales arbitrarios con acceso a Sudo ingresando una contraseña de siete caracteres o menos. El impacto podría variar según las librerías del sistema, el compilador y la arquitectura del procesador.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sudo_project:sudo:*:*:*:*:*:*:*:* | 1.8.0 (incluyendo) | 1.9.12 (excluyendo) |
| cpe:2.3:a:sudo_project:sudo:1.9.12:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=2139911
- https://github.com/sudo-project/sudo/commit/bd209b9f16fcd1270c13db27ae3329c677d48050
- https://news.ycombinator.com/item?id=33465707
- https://security.gentoo.org/glsa/202211-08
- https://www.sudo.ws/security/advisories/
- https://bugzilla.redhat.com/show_bug.cgi?id=2139911
- https://github.com/sudo-project/sudo/commit/bd209b9f16fcd1270c13db27ae3329c677d48050
- https://news.ycombinator.com/item?id=33465707
- https://security.gentoo.org/glsa/202211-08
- https://www.sudo.ws/security/advisories/