Journal sudo, faille pwfeedback

Posté par  . Licence CC By‑SA.
Étiquettes :
22
1
fév.
2020

Une nouvelle version de sudo est sortie. Elle corrige une faille assez sévère.

L'option pwfeedback est une option qui offre un retour visuel lors de la saisie du mot de passe, en affichant des étoiles. Le bogue entraîne un dépassement de tampon, notamment lorsqu’un utilisateur, même non enregistré, tape ^U (effacer la ligne) sur un longue chaîne.
Cette option est désormais ignorée dans un environnement hors TTY, propice à ce comportement. Elle est toutefois rarement activée par défaut.

Cette fuite a été détectée par le département Information Security d’Apple.

Mettez à jour vers la 1.18.31… ou utilisez calife.

  • # Pressentiment?

    Posté par  (site web personnel) . Évalué à 5.

    C'est marrant, quand mon sudo s'est mis à m'afficher des étoiles j'ai tout de suite cherché à empêcher ça.

    Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re: Pressentiment?

      Posté par  . Évalué à 7.

      Par curiosité, sur quel OS/Distro sudo était réglé avec cette option activée  ?

      • [^] # Re: Pressentiment?

        Posté par  (site web personnel) . Évalué à 4.

        C'était sous Linux Mint

        Un LUG en Lorraine : https://enunclic-cappel.fr

        • [^] # Re: Pressentiment?

          Posté par  . Évalué à 3.

          En effet, c'est indiqué dans le CVE:

          (pwfeedback is a default setting in Linux Mint and elementary OS; however, it is NOT the default for upstream and many other packages, and would exist only if enabled by an administrator.)

          • [^] # Re: Pressentiment?

            Posté par  (site web personnel) . Évalué à 6.

            Ben en même temps, on m'a déjà appelé au secours parce que rien ne s'affichait dans le terminal quand la personne tapais son mdp (en suivant un post sur ubuntu.fr). Alors je comprends Mint ou autres dont la cible est les parents Michu. Peut-être faudrait-il un message du genre : « Mot de passe : (celui-ci ne s'affichera pas pour des raisons de confidentialité) » ?

            « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

            • [^] # Re: Pressentiment?

              Posté par  (site web personnel) . Évalué à 5.

              C'est en effet plus logique d'avoir un retour à l'écran quand on tape quelque chose sur le clavier.

              • [^] # Re: Pressentiment?

                Posté par  (site web personnel) . Évalué à 9.

                L'ordinateur pourrait au moins faire l'effort d'afficher les caractères tapés au clavier, quand même ! Les développeurs sont vraiment payés à rien faire ; ils livrent des logiciels pas finis !

                • [^] # Re: Pressentiment?

                  Posté par  (site web personnel) . Évalué à 5.

                  L'ordinateur pourrait au moins faire l'effort d'afficher les caractères tapés au clavier,

                  C'est tellement 2008…

                  En plus on n'est pas à l'abri d'un bug dans X11 qui afficherait les caractères sans anti-aliasing alors mon mot de passe moche, non merci.

                  Par contre je veux bien journaliser les commandes reçues et les actions résultantes, les envoyer dans un SAAS à base de Kafka/Kubernetes pour analyse statistique ultérieure accessible en OpenData, là on tient un killer feature coco!

  • # Mais encore

    Posté par  (site web personnel) . Évalué à 9.

    … ou utilisez calife.

    Ou doas (OpenBSD) ou opendoas (au moins ArchLinux).

    • [^] # Re: Mais encore

      Posté par  . Évalué à -7. Dernière modification le 01 février 2020 à 20:19.

      Je me demande bien ce qui t’a valu ce moinssage… c’est pénible cette manie.

      • [^] # Re: Mais encore

        Posté par  . Évalué à 6. Dernière modification le 01 février 2020 à 22:59.

        Je n'ai pas moinsé mais puisque tu poses la question d'un pourquoi, je vois plusieurs raisons.

        1. Sudo est de facto dans les distribution Linux et Linux représente une majorité des installations serveurs. Partant de là, si une faille est détectée, il est naturel d'avoir un article qui recommande le patch plutôt que de passer à OpenBSD.

        2. Qu'est ce qui dit que les outils proposés n'ont pas failles, peut-être même pire que celle présentée et peut-être pas encore identifiées ?

        Pour ma part je suis attiré par les *BSD, d'abord par snobisme, car Linux c'est trop mainstream et aussi parce que je pense que c'est plus KISS. Mais je n'ai pas encore franchi le pas en prod ; la crainte de ne pas avoir tout de dispo.

        • [^] # Re: Mais encore

          Posté par  . Évalué à 7. Dernière modification le 01 février 2020 à 23:49.

          Personne n’a parlé de passer sur un BSD :

          • opendoas est un portage sur linux
          • sudo est disponible et largement utilisé sur les BSD, il est pertinent d’annoncer que sur ces plateformes, on peut utiliser d’autres outils.

          Ensuite c’est sûr, les outils alternatifs ont peut-être d’autres failles. Pour le cas de opendoas, le programme est tellement petit en comparaison de sudo que le nombre de bugs possibles s’en trouve pratiquement automatiquement réduit.

          Le programme parfait est un programme sans aucune instructions ;)

        • [^] # Re: Mais encore

          Posté par  (site web personnel) . Évalué à 7.

          Sudo est de facto dans les distribution Linux et Linux représente une majorité des installations serveurs. Partant de là, si une faille est détectée, il est naturel d'avoir un article qui recommande le patch plutôt que de passer à OpenBSD.

          Moui, mais justement c'est dommage si tout le monde continue de penser comme ça. Cela signifie que parce que GNU Coreutils, GNU Binutils et GNU GCC sont par défaut on devrait toujours utiliser ça au lieu d'alternatives plus simples.

          Loin derrière l'idée de dénigrer sudo, mais il fait 100000 lignes de code, loin derrière les ~900 de doas.

          Qu'est ce qui dit que les outils proposés n'ont pas failles, peut-être même pire que celle présentée et peut-être pas encore identifiées ?

          Il y a une réponse assez naïve et vraie à la fois. Plus il y a de code, plus il y a de bugs. Mais pour généraliser, plus il y a de code, plus les audits sont compliqués.

          git is great because linus did it, mercurial is better because he didn't

          • [^] # Re: Mais encore

            Posté par  . Évalué à 4.

            Plus il y a de code, plus il y a de bugs. Mais pour généraliser, plus il y a de code, plus les audits sont compliqués.

            Et plus il y a d'utilisateurs plus c'est pentesté.

            Mais la diversité améliore la sécurité en soit même si les alternatives à sudo faisaient 1M de lignes ça serait intéressant d'un point de vu sécurité pour qu'une faille n'impacte pas tout le monde.

            Après sudo a énormément de fonctionnalités et fait un job cool (même si je trouve dommage de continuer à voir des overflow aujourd'hui…), mais c'est super d'avoir des façons différentes de faire (plus simple comme doas, juste de réimplémentations comme calife ou complètement autrement).

            Les projets libres non commercial comme ça ne sont pas des ennemis à la recherche de la plus grande part de marché.

            https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

            • [^] # Re: Mais encore

              Posté par  . Évalué à 2.

              Et plus il y a d'utilisateurs plus c'est pentesté.

              Par des chapeaux blancs ou des noirs? Dans le cas des blancs, les correctifs arrivent-ils réellement rapidement? Sur quelles distro?
              Et plus la base de code est grosse, plus il y a de choses à tester, plus le fuzzing prendra du temps. Plus, aussi, il est difficile d'envoyer un patch.

              Après sudo a énormément de fonctionnalités

              D'ailleurs, si quelqu'un pouvait m'expliquer pourquoi il fait une requête DNS sur le hostname (que contourne Debian en ajoutant 127.0.1.1 dans /etc/hosts) ça m'intéresse, parce que perso, j'ai bien du mal a voir l'intérêt de cette… fonctionnalité.

              • [^] # Re: Mais encore

                Posté par  . Évalué à 3.

                D'ailleurs, si quelqu'un pouvait m'expliquer pourquoi il fait une requête DNS sur le hostname (que contourne Debian en ajoutant 127.0.1.1 dans /etc/hosts) ça m'intéresse, parce que perso, j'ai bien du mal a voir l'intérêt de cette… fonctionnalité.

                On peut passer un hostname en paramètre à sudo. Et s'il n'est pas renseigné, il tape sur le hostname par défaut. Sudo est capable de résoudre les hostnames des interfaces locales afin de vérifier s'il existe une règle spécifique de l'hôte.

                C'est donc bien une fonctionnalité qui a tout son sens.

                La majeure partie des morts l'était déjà de son vivant et le jour venu, ils n'ont pas senti la différence.

                • [^] # Re: Mais encore

                  Posté par  . Évalué à 1.

                  Espèce de spoiler ! :)

                  https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

              • [^] # Re: Mais encore

                Posté par  . Évalué à 5.

                Et plus il y a d'utilisateurs plus c'est pentesté.

                Par des chapeaux blancs ou des noirs?

                Les 2 mon général. Mais c'était surtout pour mettre en avant que c'est pas trivial de dire comme ça sur des critères purement extérieur/quantitatif ce qui est le plus sécurisé ou non. Par contre :

                Dans le cas des blancs, les correctifs arrivent-ils réellement rapidement? Sur quelles distro?

                Là il y a un glissement. Ce n'est pas une question de sudo ou de la taille de son code. Si ta distribution ne met pas à jour ta bibliothèque TLS ou ton client SSH quand une mise à jour de sécurité apparaît c'est pas la faute des développeurs upstream.

                D'ailleurs, si quelqu'un pouvait m'expliquer pourquoi il fait une requête DNS sur le hostname (que contourne Debian en ajoutant 127.0.1.1 dans /etc/hosts) ça m'intéresse, parce que perso, j'ai bien du mal a voir l'intérêt de cette… fonctionnalité.

                Tu présente le truc de manière assez biaisée, tu ne trouve pas ? Je suis sur que tu es capable d'aller voir la doc (celle upstream que tu peux retrouver via l'outil man de ton unix-like préféré si tu as installé sudo) de sudo qui explique à quoi ça sert1 et qui décrit la manip' utilisée par debian → ce n'est pas un contournement de la part de debian c'est une configuration prévue par les développeurs upstream.

                Au lieu de commencer par s'offusquer ça pourrait être marrant de se renseigner, c'est comme ça qu'on évite les FUD et autres fausses informations ;)


                1. je suis d'accord que tout le monde n'a pas besoin de cette fonctionnalité (et moi le premier), mais sudo est full-featured c'est le principe du projet, il est tout à fait possible de se tourner vers une alternative si ça gêne d'avoir ce genre de fonctionnalités 

                https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

          • [^] # Re: Mais encore

            Posté par  . Évalué à 7.

            Loin derrière l'idée de dénigrer sudo, mais il fait 100000 lignes de code, loin derrière les ~900 de doas.

            Ils font probablement pas la même chose non plus.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.