Vulnérabilité dans sudo

Posté par (page perso) . Édité par Benoît Sibaud, Florent Zara et Lucas Bonnet. Modéré par patrick_g.
Tags :
36
31
jan.
2012
Sécurité

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

  • # Déjà dans Arch Linux

    Posté par (page perso) . Évalué à 3. Dernière modification le 31/01/12 à 17:10.

    Disponible depuis le 31/01/2012 sur Arch Linux.
    Source : http://www.archlinux.org/packages/core/x86_64/sudo/

    Merci la rolling release !

    • [^] # Re: Déjà dans Arch Linux

      Posté par . Évalué à 9.

      Petit joueur, c'est dans Debian unstable depuis le 30 :-)

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Déjà dans Arch Linux

        Posté par . Évalué à -6.

        Sur debian, on profite d'une correction d'une faille de sécurité pour y ajouter un autre patch et l'on note le package "unstable". Dans combien de temps, le package sera noté stable ?

        • [^] # Re: Déjà dans Arch Linux

          Posté par (page perso) . Évalué à 4.

          gentoo, c'est stable pour x86 et amd64 depuis le 30 janvier.

          http://gentoo-portage.com/app-admin/sudo/ChangeLog

          Et sur ChuckOS, c'est stable depuis le 23 janvier... je crois que c'est lui qui a la plus grosse !

          • [^] # Re: Déjà dans Arch Linux

            Posté par (page perso) . Évalué à 6.

            C'est une façon originale de comparer les distrib \ o /

          • [^] # Re: Déjà dans Arch Linux

            Posté par . Évalué à 1.

            Pardon mais c'est quoi ChuckOS ? Google me fait la gueule.

            • [^] # Re: Déjà dans Arch Linux

              Posté par . Évalué à 2.

              Une blague :-) La faille est découverte le 27, et Chuck avait le patch avant !

              (Thanks, Captain Obvious !)

              • [^] # Re: Déjà dans Arch Linux

                Posté par . Évalué à 2.

                Merci, j'aurais dû y penser !

                Ce qu'il y a de bien avec ChuckOS c'est que c'est le seul à permettre une implémentation de IPoT fonctionnelle. ;)

                • [^] # Re: Déjà dans Arch Linux

                  Posté par . Évalué à 3.

                  Je préfère MonkeyOS. Ses développeurs sont une infinité de singes sur des claviers qui ont déjà écrit et corrigé toutes les failles imaginables.

                  En plus, l'OS est disponible dans tous les langages possibles et même non encore inventés.

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: Déjà dans Arch Linux

          Posté par . Évalué à 6.

          Dans combien de temps, le package sera noté stable ?

          Vu que le bug ne concerne qu’une version récente de sudo… es-tu sûr au moins que la version stable de Debian est impactée ?

          « Mince j’ai marché dedans… »

          • [^] # Re: Déjà dans Arch Linux

            Posté par (page perso) . Évalué à 10.

            Pour ceux qui ne se sont pas donnés la peine de suivre les liens :

            Stable has 1.7.4p4-2.squeeze.2 which doesn't have the -D flag or the vulnerable code at all, and thus is safe:

          • [^] # Re: Déjà dans Arch Linux

            Posté par . Évalué à 7.

            Cela rappelle aussi les avantages à avoir des versions éprouvées :-)

    • [^] # Tranquille

      Posté par . Évalué à 6.

      Disponible depuis le 31/01/2012 sur Arch Linux.
      Merci la rolling release !

      La mienne n’a jamais eu cette vulnérabilité : j’aime pô sudo, j’l’ai pô installé.
      Merci les dépendances réduites.

      Théorie du pot-au-feu : « Tout milieu où existe une notion de hauteur (notamment les milieux économique, politique, professionnels) se comporte comme un pot-au-feu : les mauvaises graisses remontent. »

  • # RedHat

    Posté par . Évalué à 2.

    RHEL 5.7 est tellement en retard (1.7.2p1) qu'il n'y a pas de problème...
    Rien ne sert de se presser ^^

    • [^] # Re: RedHat

      Posté par . Évalué à 1.

      En même temps, la 5.7 c'est un peu la oldstable de Red Hat… La version actuelle, c'est la 6.2 et je pense qu'elle est impactée.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: RedHat

        Posté par . Évalué à 1.

        Ma RHEL 6.2 dispose d'un sudo en version Sudo version 1.7.4p5...

  • # HS

    Posté par . Évalué à 2.

    s/Une vulnérabilité vient d'être trouvé/Une vulnérabilité vient d'être trouvée/

  • # ;-)

    Posté par . Évalué à 4.

    [ Vendor communication ]
    2012-01-24 Send vulnerability details to sudo maintainer
    2012-01-24 Maintainer is embarrased

  • # Réactivitimse, cyclimse, même combat.

    Posté par . Évalué à -1.

    Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier.

    T'appelles cela de la réactivité ?!
    Je sais pas mais quelqu'un découvre une faille de sécurité sur une pièce maîtresse, on attend pas 3 jours pour proposer un patch. c'est dans les heures qu'on propose un patch !

    • [^] # Re: Réactivitimse, cyclimse, même combat.

      Posté par . Évalué à 8.

      Et on se prend les pieds dans le tapis. En fermant cette faille à l'arrache, on en ouvre deux autres parce qu'on n'a pas pris le temps de bien réfléchir au correctif ?

      • [^] # Re: Réactivitimse, cyclimse, même combat.

        Posté par . Évalué à -3.

        T'es entrain de nous dire que le mainteneur de sudo est tellement un manche qu'il est pas capable de connaitre son programme ?
        (je rappelle que sudo, c'est 10 fichiers C dans le core et 20 fichiers qui se baladent à côté)

        Pendant ce temps, on a une vraie faille exploitable sur l'ensemble des serveurs du monde. Tout est cool alors !.

        Entre un présent réel (une faille révélée) et un futur hypothétique (la potentiel autre faille mystérieuse après la correction), mon coeur balance... Ah non, j'oublias: le pragmatisme.

        • [^] # Re: Réactivitimse, cyclimse, même combat.

          Posté par . Évalué à 5.

          T'es entrain de nous dire que le mainteneur de sudo est tellement un manche qu'il est pas capable de connaitre son programme ?

          Peut-être qu'il a une vie à côté de sudo ?

          je rappelle que sudo, c'est 10 fichiers C dans le core et 20 fichiers qui se baladent à côté

          Si c'est si simple, pourquoi n'as-tu pas proposé le patch toi-même ? À te lire, n'importe qui aurait dû se sentir concerné par l'urgence et la gravité du problème.

          une vraie faille exploitable sur l'ensemble des serveurs du monde

          C'est une faille exploitable à distance ?

          Ah non, j'oublias: le pragmatisme.

          Si tu veux une réactivité au quart de tour, le pragmatisme recommande de payer le mainteneur en conséquence, afin qu'il soit disponible à temps plein.

          (ou bien de s'arranger que le mainteneur soit un rentier sans occupation autre que l'informatique, ce qui est tout de même assez rare)

          • [^] # Re: Réactivitimse, cyclimse, même combat.

            Posté par . Évalué à 3.

            (ou bien de s'arranger que le mainteneur soit un rentier sans occupation autre que l'informatique, ce qui est tout de même assez rare)

            Y'en a au moins un qui a été dev Debian et qui a fondé sa propre distribution.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

        • [^] # Re: Réactivitimse, cyclimse, même combat.

          Posté par . Évalué à 3.

          Tu veux dire que ce genre de chose est impossible ?
          https://bugzilla.redhat.com/show_bug.cgi?id=786686

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.