製品・ソフトウェアに関する情報
脆弱性検索
sudo における権限昇格の脆弱性
タイトル sudo における権限昇格の脆弱性
概要

sudo には、Runas グループが設定される際、-u と -g オプションのマッチング処理を適切に行わないため、権限を取得される脆弱性が存在します。

想定される影響 ローカルユーザにより、"-u root" シーケンスを含むコマンドラインを介して、権限を取得される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2010年9月7日0:00
登録日 2010年9月29日16:00
最終更新日 2011年1月14日14:44
CVSS2.0 : 警告
スコア 6.2
ベクター AV:L/AC:H/Au:N/C:C/I:C/A:C
影響を受けるシステム
レッドハット
Red Hat Enterprise Linux 5 (server)
Red Hat Enterprise Linux Desktop 5.0 (client)
サイバートラスト株式会社
Asianux Server 3 (x86)
Asianux Server 3 (x86-64)
Todd C. Miller
Sudo 1.7.0 から 1.7.4p3
VMware
VMware ESX 3.0.3
VMware ESX 3.5
VMware ESX 4.0
VMware ESX 4.1
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2010年09月29日]
  掲載
[2011年01月14日]
  影響を受けるシステム:VMware (VMSA-2011-0001) の情報を追加
  ベンダ情報:VMware (VMSA-2011-0001) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2010-2956
概要

Sudo 1.7.0 through 1.7.4p3, when a Runas group is configured, does not properly handle use of the -u option in conjunction with the -g option, which allows local users to gain privileges via a command line containing a "-u root" sequence.

公表日 2010年9月11日4:00
登録日 2021年1月29日11:04
最終更新日 2024年11月21日10:17
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:todd_miller:sudo:1.7.2p4:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.0:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.4p2:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.1:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2p2:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2p7:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.4:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.4p3:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.3b1:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2p1:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2p3:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2p5:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.4p1:*:*:*:*:*:*:*
cpe:2.3:a:todd_miller:sudo:1.7.2p6:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧