Fecha: 04/02/2012
Descripción: Se encuentra en un parámetro de cadena de formato de texto en una llamada a la función fprintf que puede ser controlado por el atacante.
Detalle:
La vulnerabilidad, la CVE 2012-0809, se encuentra en el código de depuración de sudo.
En la función sudo_debug(), el nombre del propio programa sudo es utilizado como parte del argumento de cadena de formato de texto que utiliza fprintf(). El problema se encuentra en que el nombre del programa puede ser controlado mediante un enlace simbólico o estableciendo argv[0], lo permite la aplicación de variadas técnicas de explotación de vulnerabilidades en las cadenas de formato de texto:
$ ln -s /usr/bin/sudo ./%s
$ ./%s -D9
Segmentation fault
Para la explotación de esta vulnerabilidad el atacante no necesita estar listado en el archivo sudoers.
Impacto:
- Escalado de privilegios a root.
- Caída ("cuelgue") de sudo.
Se estima que para el año 2011 las erogaciones en tecnología de la Información representarán el 50% de los costos de la mayoría de las empresas.
Backup online a través de Internet. Realizamos los procesos de backup online o copia de seguridad remota o backup remoto de sus datos (data backup, backup database, etc) para que usted tenga acceso a una copia de seguridad en un entorno seguro y fiable
Los servidores (propiedad de On Services) se encuentran en España ( Alcobendas, Madrid) , Alemania , en Londres (UK) en los datacenter con mas garantias del mercado, nuestros servicios tienen unos indices de funcionamiento del 99,99 % del tiempo total encendidos. Disponemos de la experiencia, de la tecnologia, alojamos su programación CRM, su software de gestión, Servidores Exchange y cualquier necesidad que nos proponga, a que espera para preguntar por nuestros servicios profesionales?
Para obtener el óptimo rendimiento de su equipamiento informático, el mismo necesita estar constantemente controlado y disponer de un servicio técnico confiable, seguro y capacitado que acuda al instante ante cual quier fallo que se produzca.
On Services en su obsesión de ofrecer siempre los mejores servicios, acaba de ampliar su ya de por si horario de atención unmediata a las 24 horas los 365 días del año, es decir con nuestro servicio de atención inmediata su empresa nunca estará desasistida, contamos con 17 técnicos a su disposicion las 24 horas del dia, no lo dude, informese, el coste del servicio comienza desde los 18€ al mes/equipo.
