Journal CVE-2021-3156 Vulnérabilité majeure dans sudo

Posté par  . Licence CC By‑SA.
21
28
jan.
2021

Une faille de sécurité a été découverte et corrigée dans le logiciel sudo, elle est présente dans les versions inférieures à la 1.9.5p2.

Pensez à mettre à jour vos machines.

Je poste cela dans les journaux pour donner un maximum de visibilité à l'information.

Sources:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156
https://www.comptoir-hardware.com/actus/software-pilotes/43375-une-faille-decouverte-dans-sudo-mettez-votre-linux-a-jour-.html

  • # Déja posté dans es liens

    Posté par  . Évalué à 4.

    Bon je viens de voir que l'info était déjà passée dans les liens.
    https://linuxfr.org/users/arcaik/liens/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
    J'étais passé à coté.

    • [^] # Re: Déja posté dans es liens

      Posté par  (site Web personnel) . Évalué à 6.

      Et en fait, il y a une dépêche en cours (enfin l'embryon) dans l'espace de rédaction, donc, s'il y a des volontaires pour rédiger.

      Designeuse de masques pour sphéniscidés.

  • # Pas encore dispo ?

    Posté par  . Évalué à 2. Dernière modification le 29/01/21 à 08:08.

    Pensez à mettre à jour vos machines.

    Debian 10 ou Ubuntu 20.04 LTS ne me proposent pas (pour l'instant) de mise à jour. Par contre c'est fait sur une Archlinux.

    EDIT : ah non, sur Arch je ne suis "que" sur 1.9.4p2 (contre 1.8.27 sur Debian/Ubuntu), donc pas encore dispo en 1.9.5p2

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Pas encore dispo ?

      Posté par  . Évalué à 2.

      hum…
      Pour Debian 10 :
      Date du rapport : 26 janvier 2021
      https://www.debian.org/security/2021/dsa-4839
      Références dans la base de données de sécurité : CVE-2021-3156.

      • [^] # Re: Pas encore dispo ?

        Posté par  . Évalué à 2. Dernière modification le 29/01/21 à 08:14.

        ah oui merci, le fix est présent dans 1.8.27-1+deb10u3

        j'ai été trompé par le texte du journal "[une faille de sécurité] est présente dans les versions inférieures à la 1.9.5p2"

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Pas encore dispo ?

          Posté par  . Évalué à 6.

          Il est courant pour certaines distribution comme Debian de patcher la version actuellement distribuée. Dans ce cas effectivement la version que j'ai mentionnée peut être trompeuse et il vaut mieux regarder le changelog ou tester le retour de la commande suivante :

          sudoedit -s '\' `perl -e 'print "A" x 65536'`
          

          Si vous obtenez un segfault / core dump elle n'intègre pas le correctif, si elle renvoie uniquement une erreur de syntaxe le patch est présent.

        • [^] # Re: Pas encore dispo ?

          Posté par  . Évalué à 1.

          Je suis sous Debian Testing et j'ai vu passer une mise à jour du CVE-2021-3156 il y a plusieurs jours dans la version 1.9.5p1-1.1 (le 20 janvier à en croire le Changelog). J'imagine que toutes les Debians ont effectivement patché leur version actuelle avant même que 1.9.5p2 ne soit disponible. Cela me semble assez logique.

      • [^] # Re: Pas encore dispo ?

        Posté par  (site Web personnel) . Évalué à 3.

        pour Ubuntu (du 26 janvier aussi):
        https://ubuntu.com/security/notices/USN-4705-1
        https://ubuntu.com/security/notices/USN-4705-2

        et le correctif est dans CentOS 7 aussi.

    • [^] # Re: Pas encore dispo ?

      Posté par  . Évalué à 1.

      Je peux confirmer que sous Arch, je suis bien passé à l'instant en "Sudo version 1.9.5p2".

  • # Qui écrit le patch ?

    Posté par  . Évalué à 3.

    Est-ce que chaque patch est écrit dans l'urgence par les distributions ou on attend upstream ?

    • [^] # Re: Qui écrit le patch ?

      Posté par  . Évalué à 4. Dernière modification le 29/01/21 à 10:06.

      Il y a eu un embargo pour que les distribs majeures puissent déposer le paquet patchés sur leurs mirroirs avant l'annonce.

      • [^] # Re: Qui écrit le patch ?

        Posté par  . Évalué à -1.

        Ce qui ne répond pas vraiment à ma question. Est-ce que c'est upstream qui patch ? (notamment les anciennes versions). Plus simplement, est-ce la version de sudo dans debian est toujours maintenu par upstream ?

  • # Plus de source / Plus de details

    Posté par  . Évalué à 2.

    Pour plus d'infos les lectures intéressantes sont:

    https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit
    https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt

    Dommage que je ne m'y connaisse pas assez en buffer overflow, la compréhension de l'exploit semble pas trop complexe, j'aurais bien aimé tenter de faire un pseudo code d'exploit avant de patcher mon système.

  • # Update instructions sur Ubuntu

    Posté par  . Évalué à 1.

    Si cela peut aider :).

    https://ubuntu.com/security/notices/USN-4705-1

    The problem can be corrected by updating your system to the following package versions:


    Ubuntu 20.04
    sudo - 1.8.31-1ubuntu1.2
    sudo-ldap - 1.8.31-1ubuntu1.2

    Sur mon Ubuntu 20.04.01, après update :

    Package: sudo
    Version: 1.8.31-1ubuntu1.2

    Merci de l'alerte.

    • [^] # Re: Update instructions sur Ubuntu

      Posté par  . Évalué à 2.

      Et dans tout les cas, on peut aussi faire un petit sudo apt changelog sudo pour s'assurer que CVE-2021-3156 est corrigé:

      sudo (1.9.5p1-1.1) unstable; urgency=high
      
        * Non-maintainer upload.
        * Heap-based buffer overflow (CVE-2021-3156)
          - Reset valid_flags to MODE_NONINTERACTIVE for sudoedit
          - Add sudoedit flag checks in plugin that are consistent with front-end
          - Fix potential buffer overflow when unescaping backslashes in user_args
          - Fix the memset offset when converting a v1 timestamp to TS_LOCKEXCL
          - Don't assume that argv is allocated as a single flat buffer
      ...
      
  • # sudo cul

    Posté par  . Évalué à 5.

    J'ai vu plus de failles dans sudo que de problèmes liés à l'utilisation de "su -" en direct.

    Bon vendredi.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.