Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.
Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.
NdM : merci à erdnaxeli pour son journal.
Aller plus loin
- Détails de la vulnérabilité sur la liste Full Disclosure (687 clics)
- Journal à l'origine de la dépêche (250 clics)
- Debian Bug #657985 "sudo: 1.8 Format String Vulnerability" (185 clics)
- Identifiant « Common Vulnerabilities and Exposures » CVE-2012-0809 (61 clics)
- Alerte sur le site de sudo (sudo.ws) (123 clics)
# Déjà dans Arch Linux
Posté par Thomas J. (site web personnel) . Évalué à 3. Dernière modification le 31 janvier 2012 à 17:10.
Disponible depuis le 31/01/2012 sur Arch Linux.
Source : http://www.archlinux.org/packages/core/x86_64/sudo/
Merci la rolling release !
[^] # Re: Déjà dans Arch Linux
Posté par zebra3 . Évalué à 9.
Petit joueur, c'est dans Debian unstable depuis le 30 :-)
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Déjà dans Arch Linux
Posté par _seb_ . Évalué à -6.
Sur debian, on profite d'une correction d'une faille de sécurité pour y ajouter un autre patch et l'on note le package "unstable". Dans combien de temps, le package sera noté stable ?
[^] # Re: Déjà dans Arch Linux
Posté par mansuetus (site web personnel) . Évalué à 4.
gentoo, c'est stable pour x86 et amd64 depuis le 30 janvier.
http://gentoo-portage.com/app-admin/sudo/ChangeLog
Et sur ChuckOS, c'est stable depuis le 23 janvier... je crois que c'est lui qui a la plus grosse !
[^] # Re: Déjà dans Arch Linux
Posté par lethom . Évalué à 6.
C'est une façon originale de comparer les distrib \ o /
[^] # Re: Déjà dans Arch Linux
Posté par Marotte ⛧ . Évalué à 1.
Pardon mais c'est quoi ChuckOS ? Google me fait la gueule.
[^] # Re: Déjà dans Arch Linux
Posté par Simsor . Évalué à 2.
Une blague :-) La faille est découverte le 27, et Chuck avait le patch avant !
(Thanks, Captain Obvious !)
[^] # Re: Déjà dans Arch Linux
Posté par Marotte ⛧ . Évalué à 2.
Merci, j'aurais dû y penser !
Ce qu'il y a de bien avec ChuckOS c'est que c'est le seul à permettre une implémentation de IPoT fonctionnelle. ;)
[^] # Re: Déjà dans Arch Linux
Posté par zebra3 . Évalué à 3.
Je préfère MonkeyOS. Ses développeurs sont une infinité de singes sur des claviers qui ont déjà écrit et corrigé toutes les failles imaginables.
En plus, l'OS est disponible dans tous les langages possibles et même non encore inventés.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Déjà dans Arch Linux
Posté par muchos (site web personnel) . Évalué à 2.
Exact ! Il bosse à côté de l'aquarium des scénaristes des Griffin.
Debug the Web together.
[^] # Re: Déjà dans Arch Linux
Posté par BB . Évalué à 6.
Vu que le bug ne concerne qu’une version récente de sudo… es-tu sûr au moins que la version stable de Debian est impactée ?
« Mince j’ai marché dedans… »
[^] # Re: Déjà dans Arch Linux
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Pour ceux qui ne se sont pas donnés la peine de suivre les liens :
Stable has 1.7.4p4-2.squeeze.2 which doesn't have the -D flag or the vulnerable code at all, and thus is safe:
[^] # Re: Déjà dans Arch Linux
Posté par symoon . Évalué à 7.
Cela rappelle aussi les avantages à avoir des versions éprouvées :-)
[^] # Tranquille
Posté par Arthur Accroc . Évalué à 6.
La mienne n’a jamais eu cette vulnérabilité : j’aime pô sudo, j’l’ai pô installé.
Merci les dépendances réduites.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
# RedHat
Posté par Katyucha (site web personnel) . Évalué à 2.
RHEL 5.7 est tellement en retard (1.7.2p1) qu'il n'y a pas de problème...
Rien ne sert de se presser ^^
[^] # Re: RedHat
Posté par zebra3 . Évalué à 1.
En même temps, la 5.7 c'est un peu la oldstable de Red Hat… La version actuelle, c'est la 6.2 et je pense qu'elle est impactée.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: RedHat
Posté par Katyucha (site web personnel) . Évalué à 1.
Ma RHEL 6.2 dispose d'un sudo en version Sudo version 1.7.4p5...
# HS
Posté par VoixOff . Évalué à 2.
s/Une vulnérabilité vient d'être trouvé/Une vulnérabilité vient d'être trouvée/
# ;-)
Posté par VoixOff . Évalué à 4.
[ Vendor communication ]
2012-01-24 Send vulnerability details to sudo maintainer
2012-01-24 Maintainer is embarrased
# Réactivitimse, cyclimse, même combat.
Posté par Prae . Évalué à -1.
T'appelles cela de la réactivité ?!
Je sais pas mais quelqu'un découvre une faille de sécurité sur une pièce maîtresse, on attend pas 3 jours pour proposer un patch. c'est dans les heures qu'on propose un patch !
[^] # Re: Réactivitimse, cyclimse, même combat.
Posté par mickabouille . Évalué à 8.
Et on se prend les pieds dans le tapis. En fermant cette faille à l'arrache, on en ouvre deux autres parce qu'on n'a pas pris le temps de bien réfléchir au correctif ?
[^] # Re: Réactivitimse, cyclimse, même combat.
Posté par Prae . Évalué à -3.
T'es entrain de nous dire que le mainteneur de sudo est tellement un manche qu'il est pas capable de connaitre son programme ?
(je rappelle que sudo, c'est 10 fichiers C dans le core et 20 fichiers qui se baladent à côté)
Pendant ce temps, on a une vraie faille exploitable sur l'ensemble des serveurs du monde. Tout est cool alors !.
Entre un présent réel (une faille révélée) et un futur hypothétique (la potentiel autre faille mystérieuse après la correction), mon coeur balance... Ah non, j'oublias: le pragmatisme.
[^] # Re: Réactivitimse, cyclimse, même combat.
Posté par Antoine . Évalué à 5.
Peut-être qu'il a une vie à côté de sudo ?
Si c'est si simple, pourquoi n'as-tu pas proposé le patch toi-même ? À te lire, n'importe qui aurait dû se sentir concerné par l'urgence et la gravité du problème.
C'est une faille exploitable à distance ?
Si tu veux une réactivité au quart de tour, le pragmatisme recommande de payer le mainteneur en conséquence, afin qu'il soit disponible à temps plein.
(ou bien de s'arranger que le mainteneur soit un rentier sans occupation autre que l'informatique, ce qui est tout de même assez rare)
[^] # Re: Réactivitimse, cyclimse, même combat.
Posté par zebra3 . Évalué à 3.
Y'en a au moins un qui a été dev Debian et qui a fondé sa propre distribution.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Réactivitimse, cyclimse, même combat.
Posté par mickabouille . Évalué à 3.
Tu veux dire que ce genre de chose est impossible ?
https://bugzilla.redhat.com/show_bug.cgi?id=786686
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.