ГлавнаяБаза уязвимостей БДУ → BDU:2020-00857
7.8высокая

BDU:2020-00857 (CVE-2019-19232)

Уязвимость учетной записи sudoer в файле Runas ALL программы системного администрирования Sudo, позволяющая нарушителю выдать себя за несуществующего пользователя
Опубликовано: 2020-03-04
Описание

Уязвимость учетной записи sudoer в файле Runas ALL программы системного администрирования Sudo связана с неправильным контролем доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выдать себя за несуществующего пользователя

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (5)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise (High Performance Computing 12)SUSE Linux Enterprise (Server for SAP Applications 12 SP4)Red Hat Enterprise Linux (8)SUSE Linux Enterprise (Server for SAP Applications 12 SP5)SUSE CaaS Platform (3.0)SUSE Linux Enterprise (Module for Basesystem 15 SP1)SUSE Linux Enterprise (SDK 12 SP4)SUSE Linux Enterprise (SDK 12 SP5)Sudo (до 1.8.29 включительно)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:
Для Sudo:
https://www.sudo.ws/devel.html#1.8.30b2
https://www.sudo.ws/stable.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-19232/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-19232

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для Astra Linux Special Edition 1.6 «Смоленск»::
обновить пакет sudo до 1.8.19p1-2.1+deb9u3+ci202402160009+astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20241017SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://cxsecurity.com/cveshow/CVE-2019-19232/https://nvd.nist.gov/vuln/detail/CVE-2019-19232https://access.redhat.com/security/cve/cve-2019-19232https://www.suse.com/security/cve/CVE-2019-19232/https://www.sudo.ws/devel.html#1.8.30b2https://www.sudo.ws/stable.htmhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0426SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена