Une faille de sécurité a été découverte et corrigée dans le logiciel sudo, elle est présente dans les versions inférieures à la 1.9.5p2.
Pensez à mettre à jour vos machines.
Je poste cela dans les journaux pour donner un maximum de visibilité à l'information.
Sources:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156
https://www.comptoir-hardware.com/actus/software-pilotes/43375-une-faille-decouverte-dans-sudo-mettez-votre-linux-a-jour-.html
# Déja posté dans es liens
Posté par Chris K. . Évalué à 4.
Bon je viens de voir que l'info était déjà passée dans les liens.
https://linuxfr.org/users/arcaik/liens/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
J'étais passé à coté.
[^] # Re: Déja posté dans es liens
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 6.
Et en fait, il y a une dépêche en cours (enfin l'embryon) dans l'espace de rédaction, donc, s'il y a des volontaires pour rédiger.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
# Pas encore dispo ?
Posté par gUI (Mastodon) . Évalué à 2. Dernière modification le 29 janvier 2021 à 08:08.
Debian 10 ou Ubuntu 20.04 LTS ne me proposent pas (pour l'instant) de mise à jour. Par contre c'est fait sur une Archlinux.
EDIT : ah non, sur Arch je ne suis "que" sur 1.9.4p2 (contre 1.8.27 sur Debian/Ubuntu), donc pas encore dispo en 1.9.5p2
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pas encore dispo ?
Posté par frayd . Évalué à 2.
hum…
Pour Debian 10 :
Date du rapport : 26 janvier 2021
https://www.debian.org/security/2021/dsa-4839
Références dans la base de données de sécurité : CVE-2021-3156.
[^] # Re: Pas encore dispo ?
Posté par gUI (Mastodon) . Évalué à 2. Dernière modification le 29 janvier 2021 à 08:14.
ah oui merci, le fix est présent dans 1.8.27-1+deb10u3
j'ai été trompé par le texte du journal "[une faille de sécurité] est présente dans les versions inférieures à la 1.9.5p2"
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Pas encore dispo ?
Posté par Chris K. . Évalué à 6.
Il est courant pour certaines distribution comme Debian de patcher la version actuellement distribuée. Dans ce cas effectivement la version que j'ai mentionnée peut être trompeuse et il vaut mieux regarder le changelog ou tester le retour de la commande suivante :
Si vous obtenez un segfault / core dump elle n'intègre pas le correctif, si elle renvoie uniquement une erreur de syntaxe le patch est présent.
[^] # Re: Pas encore dispo ?
Posté par SChauveau . Évalué à 1.
Je suis sous Debian Testing et j'ai vu passer une mise à jour du CVE-2021-3156 il y a plusieurs jours dans la version 1.9.5p1-1.1 (le 20 janvier à en croire le Changelog). J'imagine que toutes les Debians ont effectivement patché leur version actuelle avant même que 1.9.5p2 ne soit disponible. Cela me semble assez logique.
[^] # Re: Pas encore dispo ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
pour Ubuntu (du 26 janvier aussi):
https://ubuntu.com/security/notices/USN-4705-1
https://ubuntu.com/security/notices/USN-4705-2
et le correctif est dans CentOS 7 aussi.
[^] # Re: Pas encore dispo ?
Posté par Sebastian . Évalué à 1.
Je peux confirmer que sous Arch, je suis bien passé à l'instant en "Sudo version 1.9.5p2".
# Qui écrit le patch ?
Posté par ff9097 . Évalué à 3.
Est-ce que chaque patch est écrit dans l'urgence par les distributions ou on attend upstream ?
[^] # Re: Qui écrit le patch ?
Posté par Psychofox (Mastodon) . Évalué à 4. Dernière modification le 29 janvier 2021 à 10:06.
Il y a eu un embargo pour que les distribs majeures puissent déposer le paquet patchés sur leurs mirroirs avant l'annonce.
[^] # Re: Qui écrit le patch ?
Posté par ff9097 . Évalué à -1.
Ce qui ne répond pas vraiment à ma question. Est-ce que c'est upstream qui patch ? (notamment les anciennes versions). Plus simplement, est-ce la version de sudo dans debian est toujours maintenu par upstream ?
[^] # Re: Qui écrit le patch ?
Posté par Psychofox (Mastodon) . Évalué à 7.
Non ce sont les mainteneurs de distros qui backportent le patch.
# Plus de source / Plus de details
Posté par lince . Évalué à 2.
Pour plus d'infos les lectures intéressantes sont:
https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt
Dommage que je ne m'y connaisse pas assez en buffer overflow, la compréhension de l'exploit semble pas trop complexe, j'aurais bien aimé tenter de faire un pseudo code d'exploit avant de patcher mon système.
# Update instructions sur Ubuntu
Posté par JRelland . Évalué à 1.
Si cela peut aider :).
https://ubuntu.com/security/notices/USN-4705-1
Sur mon Ubuntu 20.04.01, après update :
Package: sudo
Version: 1.8.31-1ubuntu1.2
Merci de l'alerte.
[^] # Re: Update instructions sur Ubuntu
Posté par SChauveau . Évalué à 2.
Et dans tout les cas, on peut aussi faire un petit
sudo apt changelog sudopour s'assurer que CVE-2021-3156 est corrigé:[^] # Re: Update instructions sur Ubuntu
Posté par vv222 (site web personnel) . Évalué à 9.
N'abusons pas non plus du sudo, un
apt changelog sudosuffira bien ;P# sudo cul
Posté par stopspam . Évalué à 5.
J'ai vu plus de failles dans sudo que de problèmes liés à l'utilisation de "su -" en direct.
Bon vendredi.
[^] # Accroche toi au sudo j'enlève le shell
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
Ne nous fais pas su -bir ces jeux de mots laids !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Accroche toi au sudo j'enlève le shell
Posté par stopspam . Évalué à 4.
je constate un net relâchement, voire, la perte d'une certaine tradition du vendredi.
Heureusement qu'un vieux de la vieille traîne toujours par là pour sauver l'honneur :p
[^] # Re: sudo cul
Posté par freem . Évalué à 5.
Le sumo est trop gros, passera pas.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.