Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en sudo (CVE-2014-9680)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
24/04/2017
Última modificación:
20/04/2025

Descripción

sudo en versiones anteriores a 1.8.12 no garantiza que la variable de entorno TZ esté asociada con un archivo zoneinfo, lo que permite a usuarios locales abrir archivos arbitrarios para acceso de lectura (pero no ver el contenido del archivo) ejecutando un programa dentro de una sesión sudo, como lo demuestra interfiriendo con la salida del terminal, descartando los mensajes del kernel-log o reposicionando las unidades de cinta.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:sudo_project:sudo:*:p2:*:*:*:*:*:* 1.8.11 (incluyendo)