Les développeurs de sudo ont publié des mises à jour, de cet utilitaire permettant d'élever les privilèges, corrigeant un bug qui permettrait à un pirate d'exécuter des commandes auxquelles il ne devrait pas pouvoir accéder à partir d'un système distant.
Les versions de sudo 1.8.4p5 et 1.7.9p1 corrigent une vulnérabilité dans le programme qui peut permettre à un utilisateur légitime, qui est inclus dans les sudoers, d'exécuter des commandes sur d'autres serveurs. Lorsque sudo est appelé pour exécuter une commande d'un utilisateur, il consulte les sudoers pour voir si l'utilisateur a les permissions adéquates. Les règles de sudoers incluent la possibilité de définir des permissions par l'adresse IP du serveur en se référent à des adresses absolues ou bien avec un netmask (masque de réseau). Et ici c'est bien le netmask qui pose problème et peut affecter des autorisations aux utilisateurs par sous-réseau.
Lorsque les développeurs ont ajouté le support IPv6, ils ont par inadvertance, fait la routine de comparaison utilisée pour les réseaux IPv4 en appelant celle de l'IPv6 si aucune IPv4 n'est trouvée. Et donc si les champs IPv6 ne sont pas initialisés, il est possible pour le système de penser que le mask est vérifié alors qu'il ne l'est pas. Une fois le mask résolu, cela signifie que les permissions sont accordées pour n'importe quelle commande que la règle autorise même quand le système est sur une couche réseau différente. Le problème se produit donc là où les sudoers sont configurés de manière centralisée et distribuée, par exemple avec sudoldap. Mais par défaut sudo et les sudoers ne sont pas configurés de cette façon.
La faille est présente dans les versions 1.6.9p3 et 1.8.4p4. Cet exploit a été signalé en interne via le tracker Red Hat Bugzilla et a déjà été corrigé dans Ubuntu par rétro-portage du correctif pour les versions plus anciennes du package. Red Hat a également prévu de corriger ses versions de sudo très bientôt. Il est conseillé à tous les utilisateurs de faire la mise à jour vers une version corrigée dès que possible. Si vous ne pouvez pas faire la mise à jour, passez par l'adresse IP dans le fichier de configuration des sudoers plutôt que par le netmask.
MISES A JOUR DE L'ARTICLE |