Sicherheitslücke in Sudo unter Ubuntu

Evan Broder und Anders Kaseorg haben eine Sicherheitslücke bei Sudo in verschiedenen Ubuntu-Versionen aufgedeckt. Beim Aufruf überprüft Sudo die Umgebungsvariablen nicht genügend, wenn es mit der Secure_Path-Einstellung konfiguriert ist (das ist bei Ubuntu die Default-Einstellung). Lokale Benutzer könnten somit eigenen Code mit Root-Rechten ausführen, wenn Sudo so konfiguriert ist, dass Programme ausgeführt werden dürfen, die die PATH-Variable auswerten. Betroffen sind die Ubuntu-Versionen 6.06 LTS, 8.04 LTS, 9.04 (LTS) und 10.04 (LTS). Für alle gibt es in den Repositories bereits Security-Updates.