Vulnerability Details : CVE-2015-8239
The SHA-2 digest support in the sudoers plugin in sudo after 1.8.7 allows local users with write permissions to parts of the called command to replace them before it is executed.
Products affected by CVE-2015-8239
- cpe:2.3:a:sudo_project:sudo:1.8.15:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:p3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.12:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.12:rc2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:p3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:p2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:p1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:rc2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:rc3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:b4:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:p2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:p1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:rc2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:p5:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.8:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:rc2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:b5:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:p1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.12:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.12:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:b4:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:b2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:rc2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:b4:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:p4:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:p2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.8:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.8:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.15:b4:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:p2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.14:*:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:rc2:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.13:b4:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.12:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.12:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:b3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.11:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:rc3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.10:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:p3:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:p1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.9:b1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.8:rc1:*:*:*:*:*:*
- cpe:2.3:a:sudo_project:sudo:1.8.8:b2:*:*:*:*:*:*
Exploit prediction scoring system (EPSS) score for CVE-2015-8239
0.04%
Probability of exploitation activity in the next 30 days
EPSS Score History
~ 6 %
Percentile, the proportion of vulnerabilities that are scored at or less
CVSS scores for CVE-2015-8239
Base Score | Base Severity | CVSS Vector | Exploitability Score | Impact Score | Score Source | First Seen |
---|---|---|---|---|---|---|
6.9
|
MEDIUM | AV:L/AC:M/Au:N/C:C/I:C/A:C |
3.4
|
10.0
|
NIST | |
7.0
|
HIGH | CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
1.0
|
5.9
|
NIST |
CWE ids for CVE-2015-8239
-
The product contains a code sequence that can run concurrently with other code, and the code sequence requires temporary, exclusive access to a shared resource, but a timing window exists in which the shared resource can be modified by another code sequence that is operating concurrently.Assigned by: nvd@nist.gov (Primary)
References for CVE-2015-8239
-
https://bugzilla.redhat.com/show_bug.cgi?id=1283635
1283635 – (CVE-2015-8239) CVE-2015-8239 sudo: Race condition when checking digests in sudoersIssue Tracking;Patch;Third Party Advisory
-
https://www.sudo.ws/repos/sudo/rev/24a3d9215c64
sudo: 24a3d9215c64Issue Tracking;Patch;Third Party Advisory
-
https://www.sudo.ws/repos/sudo/rev/397722cdd7ec
sudo: 397722cdd7ecIssue Tracking;Patch;Third Party Advisory
-
https://www.sudo.ws/repos/sudo/rev/0cd3cc8fa195
sudo: 0cd3cc8fa195Issue Tracking;Patch;Third Party Advisory
-
http://www.openwall.com/lists/oss-security/2015/11/18/22
oss-security - Re: race condition checking digests/checksums in sudoersMailing List;Third Party Advisory
Jump to