Vulnerabilidad en sudo (CVE-2010-1163)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
16/04/2010
Última modificación:
11/04/2025
Descripción
El comando de funcionalidad matching en sudo v1.6.8 hasta v1.7.2p5 no maneja adecuadamente cuando un fichero en el directorio actual de trabajo tiene el mismo nombre que un pseudo-comando en el archivo dudoers y que contiene en la ruta una entrada para ".", lo que permite a usuarios locales ejecutar comandos de su elección a través de un troyano ejecutable, como ha sido demostrado usando sudoedit, una vulnerabilidad diferente que CVE-2010-0426.
Impacto
Puntuación base 2.0
6.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:todd_miller:sudo:1.6.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8_p12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.8p7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.9_p17:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.9_p18:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.9_p19:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.9_p20:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.9_p21:*:*:*:*:*:*:* | ||
| cpe:2.3:a:todd_miller:sudo:1.6.9_p22:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.fedoraproject.org/pipermail/package-announce/2010-April/039986.html
- http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00006.html
- http://secunia.com/advisories/39384
- http://secunia.com/advisories/39399
- http://secunia.com/advisories/39474
- http://secunia.com/advisories/39543
- http://secunia.com/advisories/43068
- http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.577019
- http://wiki.rpath.com/Advisories:rPSA-2010-0075
- http://www.mandriva.com/security/advisories?name=MDVSA-2010%3A078
- http://www.osvdb.org/63878
- http://www.redhat.com/support/errata/RHSA-2010-0361.html
- http://www.securityfocus.com/archive/1/510827/100/0/threaded
- http://www.securityfocus.com/archive/1/510846/100/0/threaded
- http://www.securityfocus.com/archive/1/510880/100/0/threaded
- http://www.securityfocus.com/archive/1/514489/100/0/threaded
- http://www.securityfocus.com/bid/39468
- http://www.sudo.ws/sudo/alerts/sudoedit_escalate2.html
- http://www.ubuntu.com/usn/USN-928-1
- http://www.vupen.com/english/advisories/2010/0881
- http://www.vupen.com/english/advisories/2010/0895
- http://www.vupen.com/english/advisories/2010/0904
- http://www.vupen.com/english/advisories/2010/0949
- http://www.vupen.com/english/advisories/2010/0956
- http://www.vupen.com/english/advisories/2010/1019
- http://www.vupen.com/english/advisories/2011/0212
- https://exchange.xforce.ibmcloud.com/vulnerabilities/57836
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9382
- http://lists.fedoraproject.org/pipermail/package-announce/2010-April/039986.html
- http://lists.opensuse.org/opensuse-security-announce/2011-01/msg00006.html
- http://secunia.com/advisories/39384
- http://secunia.com/advisories/39399
- http://secunia.com/advisories/39474
- http://secunia.com/advisories/39543
- http://secunia.com/advisories/43068
- http://slackware.com/security/viewer.php?l=slackware-security&y=2010&m=slackware-security.577019
- http://wiki.rpath.com/Advisories:rPSA-2010-0075
- http://www.mandriva.com/security/advisories?name=MDVSA-2010%3A078
- http://www.osvdb.org/63878
- http://www.redhat.com/support/errata/RHSA-2010-0361.html
- http://www.securityfocus.com/archive/1/510827/100/0/threaded
- http://www.securityfocus.com/archive/1/510846/100/0/threaded
- http://www.securityfocus.com/archive/1/510880/100/0/threaded
- http://www.securityfocus.com/archive/1/514489/100/0/threaded
- http://www.securityfocus.com/bid/39468
- http://www.sudo.ws/sudo/alerts/sudoedit_escalate2.html
- http://www.ubuntu.com/usn/USN-928-1
- http://www.vupen.com/english/advisories/2010/0881
- http://www.vupen.com/english/advisories/2010/0895
- http://www.vupen.com/english/advisories/2010/0904
- http://www.vupen.com/english/advisories/2010/0949
- http://www.vupen.com/english/advisories/2010/0956
- http://www.vupen.com/english/advisories/2010/1019
- http://www.vupen.com/english/advisories/2011/0212
- https://exchange.xforce.ibmcloud.com/vulnerabilities/57836
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A9382