logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 30-01-2021 13:46:14

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

[SUDO] Une faille de sécurité vieille de 10 ans !

Bonjour smile

Il existe une faille de sécurité dans sudo qui permet d'obtenir les droits root.

Voir ici : https://www.generation-nt.com/linux-fai … 84741.html

Depuis quelques jours, des mises à jour de sudo sont disponibles pour Debian et Ubuntu.

Quelqu'un a donné une commande dans le lien ci-dessus pour tester la faille :

sudoedit -s '' `perl -e 'print "A" x 65536'`


Si des personnes ont des machines non à jour, elles peuvent tester pour voir si ça marche.

La commande est peut-être à corriger.
.

Dernière modification par Beta-Pictoris (30-01-2021 14:18:52)

Hors ligne

#2 30-01-2021 16:25:09

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Bonjour,
C'est la faille CVE-2021-3156
Par rapport à l'article :

Pour ne pas être concerné par cette faille, la version de sudo doit être au moins 1.9.5p2


sudo -V


Sudo version 1.9.5p2


openSUSE a aussi patché pour Leap 15.1 qui est en fin de vie en Janvier 2021.
En fait sur les distributions maintenues, c'est bon même si vous n'avez pas ce numéro.
Pour Debian Buster et Stretch le numéro de version est différent par rapport à l'article

Paquet sudo

    jessie (oldoldstable) (admin): fournit des privilèges de super-utilisateurs à des clients spécifiques
    1.8.10p3-1+deb8u7 [security]: amd64 armel armhf i386
    également fourni par : sudo-ldap
    stretch (oldstable) (admin): fournit des privilèges de super-utilisateurs à des clients spécifiques
    1.8.19p1-2.1+deb9u3 [security]: amd64 arm64 armel armhf i386
    1.8.19p1-2.1+deb9u2: mips mips64el mipsel ppc64el s390x
    également fourni par : sudo-ldap
    buster (stable) (admin): fournit des privilèges de super-utilisateurs à des clients spécifiques
    1.8.27-1+deb10u3 [security]: amd64 arm64 armel armhf i386 mips mips64el mipsel ppc64el s390x
    également fourni par : sudo-ldap
    bullseye (testing) (admin): fournit des privilèges de super-utilisateurs à des clients spécifiques
    1.9.5p2-1: amd64 arm64 armel armhf i386 mips64el mipsel ppc64el s390x
    également fourni par : sudo-ldap
    sid (unstable) (admin): fournit des privilèges de super-utilisateurs à des clients spécifiques
    1.9.5p2-2: amd64 arm64 armel armhf hppa i386 m68k mips64el mipsel ppc64 ppc64el riscv64 s390x sh4 sparc64 x32
    1.8.27-1.1 [debports]: alpha
    également fourni par : sudo-ldap


mais la mise à jour corrigeant le bug a bien été faite, pas de panique big_smile

sudo (1.8.27-1+deb10u3) buster-security; urgency=high

  * Non-maintainer upload by the Security Team.
  * Sanity check size when converting the first record to TS_LOCKEXCL
  * Heap-based buffer overflow (CVE-2021-3156)
    - Reset valid_flags to MODE_NONINTERACTIVE for sudoedit
    - Add sudoedit flag checks in plugin that are consistent with front-end
    - Fix potential buffer overflow when unescaping backslashes in user_args
    - Fix the memset offset when converting a v1 timestamp to TS_LOCKEXCL
    - Don't assume that argv is allocated as a single flat buffer

-- Salvatore Bonaccorso <carnil@debian.org>  Wed, 20 Jan 2021 13:26:17 +0100


et pour Stretch aussi

For Debian 9 stretch, this problem has been fixed in version 1.8.19p1-2.1+deb9u3.


Tout ce que l'on a à faire, c'est donc de mettre à jour le système !

par contre pour Jessie et Whezzy qui ne sont plus maintenues, ça n'est peut-être pas gagné pour obtenir un correctif.

Hors ligne

#3 30-01-2021 20:44:49

Beta-Pictoris
Membre
Lieu : Angers
Distrib. : Buster
Inscription : 11-08-2015

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Pour Jessie, ce n'est pas top.

Cela dit, j'ai testé la commande, que j'ai donné au dessus, sur un serveur Jessie avec les dernières mises à jour.

J'aurais dû avoir une erreur de segmentation en cas de vulnérabilité, mais ça n'a pas été le cas.

Mais sudo n'est pas systématiquement installé de base sur Debian, contrairement à Ubuntu ou peut-être OpenSuse ?

Hors ligne

#4 30-01-2021 22:16:42

èfpé
Membre
Inscription : 10-07-2016

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Bonsoir,

chalu a écrit :

pour Jessie et Wheezy qui ne sont plus maintenues, ça n'est peut-être pas gagné pour obtenir un correctif.


Debian 8 Jessie est maintenue en ELTS et un correctif a d'ailleurs été publié le 27 janvier, cf. ici et .
Debian 7 Wheezy dont le support ELTS a pris fin il y a tout juste 7 mois ne recevra pas de correctif.

Dernière modification par èfpé (30-01-2021 22:26:42)

Hors ligne

#5 30-01-2021 22:31:13

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-13-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Dire que certain font l’apologie de l’usage de sudo au lieu de su en terme de sécurité… hmm

Tousse antique Ovide !

Hors ligne

#6 31-01-2021 08:01:15

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Merci èfpé smile je ne connaissais pas ELTS
Je remets ton info bien visible (mes petits yeux fatigués wink )
Debian 7 Wheezy dont le support ELTS a pris fin il y a tout juste 7 mois ne recevra pas de correctif alors que c’est tout bon pour Jessie. smile

Philou92 : je ne me lancerai pas dans ce débat, pas les connaissances techniques et ce n’est pas le lieu. Je voulais juste apporter des précisions par rapport à l’article du premier message qui donnait une version minimale ne correspondant pas à ce qu’on trouve sur Buster et Stretch. Cependant la plus grande faille reste l’utilisateur, tu peux n’avoir que su mais si tu te connectes toujours root, comme on le voit dans certains fils, on n’est pas dans une situation sécurisée.

Hors ligne

#7 31-01-2021 17:50:42

èfpé
Membre
Inscription : 10-07-2016

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Re-,

chalu a écrit :

je ne connaissais pas ELTS


Alors pour la petite histoire, ELTS est un projet de Raphaël Hertzog, l'initiateur des fameux Cahiers.
Seul un nombre restreint de paquets est maintenu. On ne peut donc sérieusement inciter à l'utiliser.

Hors ligne

#8 31-01-2021 18:33:28

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : [SUDO] Une faille de sécurité vieille de 10 ans !

Merci èfpé pour cette précision utile ! smile

Hors ligne

Pied de page des forums