EdiciĆ³n arbitraria de ficheros con sudo

Fecha de publicaciĆ³n: 19/01/2023

Importancia:
Alta

Recursos afectados:

Versiones de Sudo 1.8.0 a 1.9.12p1, ambas incluidas.

DescripciĆ³n:

Se ha conocido un fallo en la opciĆ³n -e de sudo (tambiĆ©n conocida como sudoedit), que permite a un usuario malicioso con privilegios de sudoedit editar archivos arbitrarios, pudiendo permitir una escalada de privilegios.

SoluciĆ³n:

Se recomienda actualizar a la versiĆ³n 1.9.12p2

Detalle:

La vulnerabilidad se produce cuando se utiliza sudo -e o sudoedit para editar archivos con privilegios mientras se ejecuta el editor como un usuario sin privilegios, ya que maneja mal los argumentos adicionales pasados ā€‹ā€‹en las variables de entorno, lo que permite a un atacante local agregar entradas arbitrarias a la lista de archivos para procesar. Se ha asignado el identificador CVE-2023-22809 para esta vulnerabilidad.

Encuesta valoraciĆ³n

Etiquetas:
ActualizaciĆ³n, Linux, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.