Une importante faille de sécurité a été détectée dans sudo, un programme Linux bien connu permettant de réaliser des actions avec des droits administrateur. La faille a été révélée hier et est déjà corrigée, les utilisateurs étant invités à mettre à jour leurs machines aussi rapidement que possible.
Sudo, pour « superuser do », est un outil Linux/Unix qu’un grand nombre d’utilisateurs connaissent bien. On le trouve notamment dans Debian et de nombreuses distributions qui en découlent, notamment Ubuntu. Il permet de déclencher des actions spécifiques avec des droits administrateurs sans avoir à basculer sur un compte permettant de les réaliser. Les droits sont alors accordés de manière temporaire, après validation du mot de passe.
Un manque de contrôle sur les espaces
Hier, les chercheurs de Qualys Security ont publié que les versions 1.8.6p7 à 1.8.20 étaient toutes touchées par une faille de sécurité « sévère », exploitable localement. Estampillée CVE-2017-1367, l’ensemble de ses détails n’est pas connu, Qualys attendant qu’une majorité de machines aient été mises à jour avant de montrer notamment son prototype d’exploitation.
On sait cependant que le souci réside dans la fonction « get_process_ttyname() », c’est-à-dire dans la façon dont sudo analyse les informations tty présentes dans le fichier de statut du processus. L’usage de cette fonction peut être détourné par un utilisateur local : via une commande spécifique incluant des espaces (que sudo ne compte pas), il peut contourner les protections habituelles et obtenir des droits complets, lui permettant alors de réaliser d’autres actions.
La plupart des distributions sont déjà à jour
La plupart des distributions ont déjà été mises à jour. C’est par exemple le cas de Red Hat, qui a publié hier des correctifs pour les versions 6 et 7 de RHEL (Red Hat Enterprise Linux). Idem pour SUSE et Debian, dont les versions Wheezy, Jessie et Sid sont toutes à jour. Il est évidemment recommandé aux utilisateurs de récupérer le plus rapidement possible ces nouvelles versions pour être à l’abri.
L’avertissement vaut surtout pour les administrateurs système en charge de serveurs sous Linux. Un particulier qui contrôle sa machine ne se sentira pas forcément en danger, mais un serveur peut être manipulé par plusieurs personnes, dont l’une pourrait alors exploiter la faille pour se rendre maître de la machine.
Comme indiqué, Qualys n’en dira pas plus pour l’instant et attendra que le danger soit éloigné pour publier les détails complets sur la vulnérabilité.
Commentaires (100)
#1
toujours en 1.8.20 sur Manjaro
#2
Voilà pourquoi je me connecte toujours en root
" />
#3
Pareil mais je savais pas encore pourquoi.
#4
une faille dans linux
" />
#5
J’ai reçu une MAJ de sudo aujourd’hui (opensuse Leap 42.2). Ça correspond probablement à cette faille.
#6
Il faut aussi que SELinux soit activé pour pouvoir l’exploiter. Comme je ne l’ai pas sur ma Debian je suis tranquille. :-) Apparmor à la place.
#7
Salut,
MAJ pour Mint et CentOS faite !!
A+
#8
Un truc que je ne capte pas …
On lance un sudo pour pouvoir passer des commandes en mode root.
Du coup, que sudo comporte une faille, ça va permettre quoi de plus que de lancer une commande en root ?
à moins que ça ne permette de lancer une commande même si on n’a pas le bon password pour le sudo, là, ok …
#9
La configuration sudo permet de définir un ensemble d’actions privilégiés autorisées pour un utilisateur donné.
Donc effectivement, pour un utilisateur pour lequel cet ensemble c’est {tout}, ça ne change rien.
Mais pour les autres, je suppose qu’un parser se prend les pieds dans les espaces.
#10
sudo permet aussi de restreindre les commandes qui peuvent être exécutées avec les droits super-utilisateur en fonction de l’utilisateur.
#11
Sudo peut aussi t’autoriser à n’exécuter qu’une liste de commandes en root. C’est pas juste un on/off.
#12
Je ne comprends pas.
Il faut SElinux pour sudo ou bien il faut SElinux pour la faille ?
#13
sudo + SELinux.
Regarde la CVE ici tu verras :
https://www.sudo.ws/alerts/linux_tty.html
#14
ok, merci pour ces précisions :)
#15
#16
La gestion des espaces en ligne de commande (Linux/windows) c’est toujours problématique, et donc source de bugs/failles.
" />
Unix, c’était mieux avant…
#17
… quand il y avait des failles mais que personne ne le savait.
" />
#18
Avec ouverture automatique de session au démarrage? Au moins quand tout est ouvert personne n’essaie de fracasser une porte
" />
#19
#20
#21
#22
#23
#24
C’était donc ça la MAJ de sudo hier sur mon serveur Debian
#25
#26
Sudo, pour « superuser do », est un outil Linux/Unix qu’un grand nombre d’utilisateurs connaissent bien […] Il permet de déclencher des actions spécifiques avec des droits administrateurs
Pas d’accord.
Il me semble que « sudo » signifie plutôt « swap user do » ou « substitute user do ». Grâce à l’option « -u », sudo permet de réaliser des actions avec le compte de n’importe quel utilisateur. Par exemple, la commande :
sudo –u bertrand firefox
lancera le logiciel firefox en tant qu’utilisateur bertrand, avec les droits et les restrictions de l’utilisateur bertrand.
En l’absence de l’option « -u », c’est avec le compte root que les commandes sont lancées.
#27
#28
#29
#30
Je n’ai qu’un accès root aux machines que j’administre.
#31
#32
#33
Tout à fait d’accord, sudo permet d’endosser les droits de n’importe quel utilisateur du système, le fait que l’invoquer sans préciser de nom d’utilisateur implique qu’on demande les droits “root” n’est qu’un cas particulier et du coup ta “traduction” de l’acronyme est plus exacte.
#34
Bon, mise à jour de ma Fedora 25 fait à l’instant, j’ai vu passer un nouveau paquet selinix, ça doit être dedans…
J’ai encore mes autres bécanes à mettre à jour, ça va bien m’occuper ce week-end.
#35
#36
ah… la bonne époque du “rlogin toto -l -froot” sur IBM.
" />
" />
Non, c’était mieux avant qu’on transforme un OS pour sysadmin en OS pour noob.
#37
#38
En effet.
#39
#40
Et c’est aussi corrigé sur Ubuntu.
#41
Un truc m’échappe: il est indiqué que les versions affectées sont les 1.8.6p7 à 1.8.20 inclusives.
Pourtant le correctif proposé par RedHat pour les version 6 de ses distrib fera passer sudo en 1.8.6p3-28
Si les versions antérieures à 1.8.6p7 ne sont pas touchées, à quoi sert ce ce correctif ?
(source)
#42
Parce que dans RHEL6 tu as des backports dans tous les sens, y compris pour Docker au niveau du noyau qui est un 2.6.32… (bon OK Docker ne marche pas super sur cette distro apparemment mais quand même)
#43
Sudo n’est pas simplement “exécuter en admin”
il permet de demander une élévation de privilège (qui peuvent très serré, genre, on peut juste lancer un certain programme, et on peut aller très loin maintenant avec les nouvelles facultés de linux)
ou simplement d’exécuter une commande en tant qu’un autre utilisateur sans privilège particulier. (pratique si on veut corriger un problème en tant qu’un employé dont on a la responsabilité)
Et donc, la gestion de sudo peut être bien plus fine que l’usage habituel qu’on en fait.
Linux, Unix, etc.
Oui, Linux n’est pas Unix.
Mais de nos jours, en 2017, très sincèrement, cette problématique est devenue obsolète. Il existe parfois des cas où il faut toujours utiliser un AIX, pour des machines bien précises.
Mais dans la pratique de la quasi totalité des entreprises et indépendants: linux c’est du unix. On prend un bouquin posix, on connait les grandes lignes, et zou !
Et puis honnêtement, ça serait une vue très limitée. De nos jours, on en est plus à vouloir du framework (du rails, du j2ee, du xamarin, etc), du docker, du openstack, etc. que de se demander encore “mais… très cher ami, peut on vraiment considérer que Linux est un Unix ?”
Faudrait un “C’est Pas Sorcier” sur ça :)
Osx..MacOs est effectivement certifié Unix. Apple a formellement fait passer la certification à son logiciel.
Comme vous le savez tous, ça a beaucoup aidé Apple à maintenir une activité de serveurs d’entreprises et de produits SAN/Réseau/Middleware etc. (c’est du sarcasme hein…)
Bref, c’est bien sur un plan intellectuel de savoir pourquoi Unix, pourquoi GNU, ce qu’est Linux et sa différence avec FreeBSD, la certification ou pas, Posix ou Pas, pour avoir un recul, pour savoir un peu qu’il y a du Sens.
Mais on a plus besoin de savoir ça pour vivre. C’est un débat d’un autre âge.
Non, posons nous les vraies questions : SystemD ou System V ? :) Vous avez 4h, les délégués ramasseront les copies.
#44
Bon, j’ai une version potentiellement touchée, la 1.8.19p2, sur ma Fedora.
S’ils ont corrigé les Red Hat, ça ne devrait pas tarder sur ma Fedora 25.
Vérifié à l’instant : c’est pas une version à jour. À voir demain avec un dnf update.
#45
J’ai eu une mise à jour “composants de base” sur ma Ubuntu 16.04, c’est ça ? (je n’ai pas vu la description)
#46
D’accord ou pas c’est ce que ça signifie. Et c’est même sudo qui le dit que sudo signifie su “do”. Et en plus tu nous parle seulement d’une option à sudo donc bon.
" />
T’façon avec sudo, la seul commande utile c’est sudo -s. Le reste c’est
pour les mecs qu’aiment se compliquer la vie, qui veulent se donné un
style alors qu’ils en ont pas.
#47
#48
#49
Faille corrigée et version déjà poussée par les mainteneurs des distributions Linux dans les mises à jour du système.
" />
Pendant ce temps là, sur les OS de smartphones, les failles sont corrigées et sur un malentendu, l’utilisateur final peut en bénéficier après avoir racheté un nouveau modèle.
#50
#51
OK, merci.
En fait, si je comprends bien, la faille se trouverait dans du code de sudo qui n’est activé qu’en présence du support de SElinux
#52
J’ai bien l’impression. Le souci est qu’il y a ambiguïté au niveau des différents rapports que j’ai pu voir au niveau de cette faille. Certains disent qu’il faut SELinux, d’autres non. Donc je finis par être sec…
#53
#54
Il ne parle pas spécifiquement de cette faille.
#55
#56
La première chose que l’on apprend sur Linux, c’est de ne jamais utiliser d’espaces, maintenant je sais pourquoi, “it’s not a bug”
" />
#57
L’autre première chose qu’on apprend, c’est de considérer que tôt ou tard, quelqu’un en mettra
#58
+1000 Merci de corriger la news.
Même si dans la plupart des usages les gens se connectent en root “parce qu’un bon bazooka pallie bien la déficience en crochetage ou déguisement”, l’usage sérieux et raisonné consiste à pleinement exploiter l’outil sudo pour définir différents niveaux de permissions ou se substituer lorsque nécessaire à des utilisateurs particuliers (ex serveur web : on préfèrera créer des répertoires ou décompresser des archives en tant que www-data directement, qui est l’utilisateur créé par défaut pour tous les serveurs web, plutôt que de passer par root avec risque de problèmes subséquents de permissions).
#59
Si je voulais faire le vieux con, je dirais bien RTFM (pour une commande, man “nomdelacommande” t’affiche l’aide en texte brut, tu peux quitter à tout instant avec la touche q -pour “quit”)…
" />
Mais en vrai faut avouer que parfois le man est assez cryptique (surtout lorsque on est encore au stade où on cherche à piger à quoi sert une commande).
Cela dit ça fait toujours une première base, après sur internet outre les inévitables threads sur Open Stack et similaires, tu trouves des outils sympas commehttps://explainshell.com/ qui “t’explique” (enfin, comme il peut) le sens d’une chaîne de commandes.
Par ailleurs, s’il est toujours déconseillé de jouer avec les opérations “destructrices” (de type mv/rm) surtout en commandes chaînées, tu peux te familiariser tranquillement rien qu’en jouant avec des commandes informatives telles que find (trouver des fichiers), du (disk usage), ls (list), grep (renvoyer des lignes de fichier comprenant une chaîne de texte) et le concept de chaînage (“piping” en anglais avec le caractère |).
Rien que maîtriser ces commandes au quotidien peut grandement te faciliter la vie une fois les options les plus courantes assimilées.
Par la suite, tu pourras jouer la finesse en créant des alias pour tes chaînes de commande (je te conseille de le faire tard cela dit, si tu le fais tout de suite tu n’apprendras pas vraiment).
#60
Petit bonus pour la route c’est cadeau ça me fait plaisir (de tête j’espère ne pas me planter
" />)
du –max-depth=1 -h . | sort -rh
Commande qui te retourne une vue d’ensemble de l’espace utilisé par le
répertoire courant et ses sous-répertoires directs, en ordre décroissant
de taille. :)
#61
Elu commentaire boulet du jour.
" />
" />
" />) : n’attribuer que les droits nécessaires pour limiter la surface d’exposition.
" /> (quitte à prendre du temps, autant le passer à verrouiller un accès en root par clé ssh + ip fixe uniquement, plus pratique à terme pour les grosses maintenances sans trop compromettre la sécurité). Même si le fin du fin serait en fait de combiner ça avec sudo (connexion distante par ip+clé sur utilisateur courant, seul autorisé à exploiter sudo pour passer root par mot de passe interposé).
" />
J’espère que tu n’es pas admin sys pour de gros systèmes d’information dis donc…
Il est certain que vraiment exploiter sudo c’est assez relou parce que ça nécessite de bien concevoir sa stratégie d’élévation de privilèges. Et ce n’est qu’une manière parmi d’autres de sécuriser un système.
N’empêche que faire cet effort est gratifiant à long terme. :)
Rappel d’un principe de base de sécurité (même si c’est généralement antinomique avec la notion de flexibilité donc ça fait hurler les utilisateurs
Après c’est sûr pour gérer son serveur perso, bon, on peut effectivement s’en passer
Et encore, je ne suis qu’un pauvre amateur. Je suis sûr que ce que je décris là couvre à peine 5% de tout ce qu’on peut faire en termes de sécurisation.
#62
@citan666
" />
Je me demande si ce ne serait pas plus utile de suivre une formation Linux. J’ai toujours eu des difficultés avec les périphériques extérieurs (imprimantes, et bien d’autres choses dont à l’époque de l’Amiga je pouvais m’en passer) et pas que. j’avais quand même une vision plus clair de tout ce qui se trouvait dans l’amigados.
Pour Linux, j’ai l’impression de lire une multitude de mots sans cesse grandissant que ce soit pour des librairies, et autres fichiers. L’Amiga dos n’avait pas autant de fichiers et tout semblait clair, pour comprendre +- chaque nom s’y trouvant, avec le temps.
Je ne suis pas informaticien (je crois je n’ai pas besoin de le dire)
#63
Heureusement que j’ai Windows 10. Je me sens beaucoup plus en sécurité du coup.
Quelle idée d’utiliser Linux… ce truc bourré de failles…
C’est vendredi, je suis déjà loin =>[]
#64
#65
Suivre une formation serait peut-être mieux, je me sentirais plus en confiance
#66
“sudo su -”, tellement le “sudo” me saoule sur Ubuntu. Debian en root et hop, même si le concept du “sudo” à toutes les raisons d’exister ^^
#67
Tout à fait, ce sont les noob qui viennent de Windows
" />
#68
Si ça peut te conforter, je ne le suis pas non plus. Cela dit, j’ai l’habitude de me palucher des pavés de texte depuis bien longtemps (grand lecteur depuis gamin, formation initiale en droit), ça aide sans doute !
" />
" />
Si tu as la motiv, suivre une “vraie” formation aide toujours c’est certain. Si tu n’es pas encore sûr de toi, comme dit auparavant tu peux te faire la main sur des commandes non dangereuses. Comme pour tout il y a à la fois l’aspect apprentissage pur et l’aspect pratique pour prendre des réflexes et se familiariser avec le simple fait de manipuler le système en ligne de commande. :)
Après si tu es sur Toulouse ou Paris et que tu veux un coup de main ou une mini-formation pratique autour d’un verre, ça peut s’arranger (ce n’est pas mon coeur de métier mais j’ai déjà assuré des formations donc je suis pas totalement novice ^^)
#69
Il y a eu une session Linux il y a peu sur FUN, mais elle est maintenant terminée.
Sinon en anglais : Linux Command Line Basics.
#70
Je vis en Belgique
" />
" /> , lent à apprendre(ça date depuis que je suis jeune°), quand je crois avoir compris, certaines choses m’échappe. il me faut plus de temps pour l’intégrer. Tout comme écrire, me prend un temps dingue, il est parfois plus utile de tout réécrire que de laisser des phrase mal construite, et compréhensible que par moi (croire que les autres pensent la même chose ne marche pas toujours)
Je suis déjà assez âgé, et,
°J’avais du mal à retenir “le loup et le chien” de La Fontaine par cœur. J’ai toujours plus misé sur la compréhension de texte que son étude par cœur. Ecrire des phrases est mon autre problème (quoique j’essaie depuis de m’améliorer ). C’est pourquoi mes phrases ont tendance à être courte (mais c’est pas toujours facile de se faire comprendre ainsi)
#71
Je suis pas sys admin. Mais je suis d’accord que plus le système est restreint plus on réduit la surface d’attaque. C’était une boutade 
" /> ! D’ailleurs un sys admin Linux qui fait correctement sont taf devrait à minima consulter et à défaut implémenter en tout ou partie les recommandations de l’ANSSI pour la config des serveurs sous Linux. On appel ça du hardening ou en français du durcissement de configuration. Les plus téméraires valideront leur configuration à l’aide des CIS Benchmarks par exemple.
#72
#73
#74
#75
Je m’amusais juste à comparer cette actualité avec les dernières sur les failles Android (par exemple) qui sont corrigées, mais dont ces mêmes corrections ne seront jamais envoyées au parc.
#76
#77
Zut je suis bien en retard, mais :
" /> , pour moi c’est “substitute user” (ou “switch user”, parce qu’on peut faire “su toto” par exemple, ou “su - toto” pour faire comme un login.
Sudo, pour « superuser do »,
M’étant mis à Unix dans les années 90
Ce n’est pas forcément pour passer root, ça permet aussi de repasser simple utilisateur depuis root, par exemple.
#78
#79
#80
#81
#82
#83
#84
C’est effectivement l’une des significations premières communément admises : “substitute user do”, et elle représente quelque chose de plus avancé et encadré que le simple “su”.
La présenter comme étant une “simple” élévation de privilège peut être assez réducteur vis à vis des énormes possibilités de cette fonctionnalité.
#85
Est-ce que ce n’est pas plus dangereux de se faire infecter sa machine (hypothèse) sous session root que sous session normal (au niveau des possibilités du malware)?
#86
Je crois que t’as oublié de mettre en marche ton détecteur d’humour.
" />
#87
La solution : https://www.microsoft.com/fr-fr/windows/
#88
#89
linux qu’a une faille de sécu.. yen a bien une dizaine fichés L comme patch ou autres anciens libristes intégristes ici qu’ont du se planquer.. allez, sortez du placard à balai, assumez votre ‘linux c’est top sécu blabla..’
#90
#91
#92
Mon point de vue de départ, en rapport aux commandes “shell” était plus à l’usage de ce qu’on peut mettre après le mot de commande (un requester OPTIONS/PREFERENCES qui aide beaucoup mieux que de chipoter avec les extensions des commandes sous le shell en essayant de faire de son mieux, sans être sûr de la syntaxe)
" />
" />
" />
C’est après-midi j’utilisais Calc de Libre Office, je n’arrivais pas à me souvenir de la syntaxe de multiplier le chiffre de B1 avec la valeur de C1 (heureusement que cela m’est revenu, * multiplie, sans oublier les parenthèses)
je me rappelais vaguement comment faire une Somme () (ça a quand même était assez facile , cela m’est revenu)
C’est pour dire que sans notions de départ de la syntaxe des extensions de la commande, on reste sur le quai
Je dirais que je n’en ai jamais eu recours (peut-être par faute de ne pas en connaître suffisamment, et à force d’avoir souvent changé la versions Mint, sauf dernièrement , deux versions de retard )
Sauf, peut-être une seule fois pour un bug et j’ai suivi les instructions à la lettre (je ne pourrais même pas dire si ça a marché ou pas, je n’ai rien vu, et j’ai déjà oublié ce que j’ai fait)
#93
Sauf que windows 7 loggué en admin ne prends au départ qu’un jeton utilisateur et te demande une élévation de droit pour les tâche admin. Sauf si tu trouvais que les pop-up te faisait chier et que tu ai redescendu le niveau des ACLs.
#94
La laser couleur Brother que j’ai prise l’année dernière s’est installée comme un charme avec le petit exécutable qu’ils proposent sur leur site sur mon Ubuntu.
Même pas eu besoin d’aller chercher quoique ce soit d’autre, le script shell qu’ils donnent demande juste le modèle (compétence requise : savoir lire) et enjoy.
Je ne peux pas en dire autant quand je l’ai installée sur le WIndows 10 de mon PC de jeux. Je ne pense pas avoir réussi à lui faire cracher une page de test… La seule nécessité que j’ai sur ce système, c’est parce que l’utilitaire pour le scan vers PC n’est hélas pas porté sous Linux.
#95
Sur les Windows NT6+ en effet la sécurité par moindre privilège est appliquée, donc tant qu’une commande ou un exécutable n’a pas besoin des droits admin y’a pas de demande de confirmation du système. Le mieux et de créer un compte admin, et tous les autres en user simple.
Mais ce n’est généralement pas appliqué.
#96
D’ailleurs j’ai appris que l’UAC de Windows peut avoir un comportement similaire à la commande “sudo” des Unix.
Sur le portable de ma boîte, je suis admin du poste mais chaque action de ce type m’oblige à saisir mon compte et mot de passe. Une façon de protéger un peu plus des comportements dangereux des utilisateurs qui ont la fâcheuse tendance à faire “clic clic clic fini” sans jamais avoir lu une seule boîte de dialogue.
Je n’ai pas l’impression que ce soit répandu comme paramétrage d’ailleurs…
#97
#98
Effectivement, cet aspect est de plus en plus simplifié et supporté par les fabricants d’imprimantes. (probablement hérité du monde de l’entreprise et des solutions d’impression basées sur CUPS)
" /> qui ont grandi avec Netware), c’est évident que les fabricants fournissent de plus en plus de facilité pour installer leurs produits dessus.
Ma Canon laser NB qui a 8 ans fut un monstrueusement plus galère à installer avec les pilotes et le service CAPT à gérer… A côté de ça l’outil fourni par Brother permet de faire installer ça par le premier mec choppé dans la rue.
Avec de plus en plus de solutions basées sur le noyau Linux qui s’imposent pour le monde de l’entreprise (au hasard, la dominance de Red Hat ou encore Novel avec SLES, coucou les
#99
En fait c’est réglable par stratégie local et ce n’est pas par défaut.
Pour le reste la plus part des utilisateurs garde leur compte admin alors que la sécurité voudrait que le compte utilisateur n’ai que des droits utulisateur et qu’un compte admin soit activité pour les taches d’administration. C’est ce que j’ai sur mon pc Windows et je pense que ça peux limiter pas mal de dégâts. De plus si le profil utilisateur est foireux le compte admin permet de dépanner.
#100
Mise à jour effectuée avec succès sous Debian (version 1.8.10p3-1+deb8u4). Merci pour l’info PCI, vous êtes au top !
" />
apt-get install –only-upgrade sudo