Vulnerabilidad en sudo (CVE-2014-9680)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
24/04/2017
Última modificación:
20/04/2025
Descripción
sudo en versiones anteriores a 1.8.12 no garantiza que la variable de entorno TZ esté asociada con un archivo zoneinfo, lo que permite a usuarios locales abrir archivos arbitrarios para acceso de lectura (pero no ver el contenido del archivo) ejecutando un programa dentro de una sesión sudo, como lo demuestra interfiriendo con la salida del terminal, descartando los mensajes del kernel-log o reposicionando las unidades de cinta.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:sudo_project:sudo:*:p2:*:*:*:*:*:* | 1.8.11 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://openwall.com/lists/oss-security/2014/10/15/24
- http://rhn.redhat.com/errata/RHSA-2015-1409.html
- http://www.securitytracker.com/id/1033158
- http://www.sudo.ws/alerts/tz.html
- https://security.gentoo.org/glsa/201504-02
- http://openwall.com/lists/oss-security/2014/10/15/24
- http://rhn.redhat.com/errata/RHSA-2015-1409.html
- http://www.securitytracker.com/id/1033158
- http://www.sudo.ws/alerts/tz.html
- https://security.gentoo.org/glsa/201504-02