ГлавнаяБаза уязвимостей БДУ → BDU:2019-03696
6.8высокая

BDU:2019-03696 (CVE-2019-14287)

Уязвимость программы системного администрирования Sudo, существующая из-за недостаточной проверки входных данных, выполнить произвольные команды с привилегиями root
Опубликовано: 2019-10-24
Описание

Уязвимость программы системного администрирования Sudo существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды с привилегиями root с использованием идентификатора пользователя User ID «-1» или «4294967295»

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (12.04 ESM)Ubuntu (19.04)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Ubuntu (14.04 ESM)Debian GNU/Linux (8)Debian GNU/Linux (10)Fedora (31)РЕД ОС (7.1 МУРОМ)Sudo (до 1.8.19p2)Red Hat Enterprise Linux (7.2 Advanced Update Support)Red Hat Enterprise Linux (7.2 Telco Extended Update Support)Red Hat Enterprise Linux (5 Extended Lifecycle Support)Red Hat Enterprise Linux (6.6 Advanced Update Support)Red Hat Enterprise Linux (6.4 Advanced Update Support)Red Hat Enterprise Linux (7.2 Update Services for SAP Solutions)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Enterprise Linux (7.3 Advanced Update Support)Red Hat Enterprise Linux (7.3 Telco Extended Update Support)Альт 8 СПОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Sudo:
https://www.sudo.ws/alerts/minus_1_uid.html

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для программных продуктов Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IP7SIOAVLSKJGMTIULX52VQUPTVSC43U/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NPLAM57TPJQGKQMNG6RHFBLACD6K356N/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUVAOZBYUHZS56A5FQSCDVGXT7PW7FL2/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00042.html
https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00047.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-14287

Для программных продуктов Canonical Ltd.:
https://usn.ubuntu.com/4154-1/

Для Astra Linux:
Обновление программного обеспечения (пакета sudo) до 1.8.19p1-2.1+deb9u1 или более поздней версии

Для Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-14287

Для ОС ОН «Стрелец»:
Обновление программного обеспечения sudo до версии 1.8.27-1+deb10u3.strelets2

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
http://www.opennet.ru/opennews/art.shtml?num=51675https://security-tracker.debian.org/tracker/CVE-2019-14287https://access.redhat.com/security/cve/CVE-2019-14287http://www.openwall.com/lists/oss-security/2019/10/14/1https://www.sudo.ws/alerts/minus_1_uid.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/IP7SIOAVLSKJGMTIULX52VQUPTVSC43U/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/NPLAM57TPJQGKQMNG6RHFBLACD6K356N/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TUVAOZBYUHZS56A5FQSCDVGXT7PW7FL2/
Проверьте безопасность своего сайта и почты → Полная проверка домена