[devel] Дырка в sudo
Andrei Bulava
abulava на altlinux.ru
Пн Ноя 14 12:49:30 MSK 2005
Dmitry V. Levin wrote:
> On Sat, Nov 12, 2005 at 10:40:14PM +1200, Alexey Borovskoy wrote:
>
>>Добрый вечер.
>>
>>Вот сегодня пришло.
>>
>>http://www.security.nnov.ru/Hdocument190.html
>>http://www.security.nnov.ru/Kdocument36.html
>>http://www.security.nnov.ru/Kdocument204.html
>>
>>Уязвимо sudo до версии 1.6.8p12.
>
>
> Запретительная политика (перечисление запрещённых переменных) принципиально
> ущербна.
Просто для уточнения: "перечисление запрещённых переменных" - это
характеристика политики default permissive, в противоположность default
restrictive.
> Настоятельно рекомендую использовать env_reset+env_keep.
>
> В очередной сборке sudo (если доберусь) я планирую включить
> env_reset по умолчанию.
>
> Выпускать обновления с пополнениями встроенного списка запрещённых
> переменных я не планирую.
Кому интересно почему, - читайте
http://www.ranum.com/security/computer_security/editorials/dumb/
"Встроенный список запрещённых переменных" - это пункт #2, "Enumerating
Badness".
--
// AB1002-UANIC
Подробная информация о списке рассылки Devel