Vulnerabilidad de gestión de memoria en sudo

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a sudo, que permitiría a un atacante con privilegios realizar una doble liberación de memoria, provocando denegación de servicios (DoS) y acceso al sistema afectado. 

La vulnerabilidad identificada como CVE-2023-27320, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de gestión de memoria (doble liberación) en la función chroot de sudo. Esto permitiría a un atacante con privilegios sudo, utilizar una regla sudoers con configuración de chroot, obtener acceso no autorizado al sistema afectado, así como provocar una denegación de servicios (DoS). 

Las versiones afectadas son: 

• Sudo, versión 1.9.8 a versión 1.9.13p1. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace: 

• https://www.sudo.ws/releases/stable/ 

Referencias: 

• https://securityonline.info/sudo-releases-patch-for-double-free-vulnerability-cve-2023-27320/ 
• https://nvd.nist.gov/vuln/detail/CVE-2023-27320 
• https://www.openwall.com/lists/oss-security/2023/02/28/1 
• https://github.com/sudo-project/sudo/releases/tag/TAG 
• https://www.sudo.ws/releases/stable/