Avis de sécurité

Avis de sécurité


CERTFR-2023-AVI-0043 : Vulnérabilité dans Sudo (20 janvier 2023)

Publié le 20 janvier 2023 08:35

Risque(s)

  • Contournement de la politique de sécurité
  • Élévation de privilèges

Systèmes affectés

  • Sudo versions 1.8.x et 1.9.x antérieures à 1.9.12p2

Résumé

Une vulnérabilité a été découverte dans sudo. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une élévation de privilèges.

La vulnérabilité est induite par un manquement dans la vérification de l'argument paramétrant l'éditeur texte de l'utilisateur.

Contournement provisoire

Il est possible d'empêcher l'utilisation d'un éditeur de texte spécifié par l'utilisateur lors de l'exécution de commande sudoedit en ajoutant les lignes suivantes dans le fichier sudoers :

Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des détails sur la correction (cf. section Documentation).

Solution

La vulnérabilité est corrigée dans la version sudo 1.9.12p2. Le déploiement de ce correctif sera réalisé selon le rythme de cycle de mise à jour de sécurité de chaque distribution. Il est conseillé de se référer aux bulletins de sécurité des éditeurs de distribution Unix, Linux et Mac.

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation

LIENS ASSOCIES


Inscrivez-vous à la newsletter CSIRT pour recevoir périodiquement les publications

Contact

contact@csirt-universitaire.org
+221 78 601 64 64
BP: XXX - Sénégal