Une importante faille de sécurité a été détectée dans sudo, un programme Linux bien connu permettant de réaliser des actions avec des droits administrateur. La faille a été révélée hier et est déjà corrigée, les utilisateurs étant invités à mettre à jour leurs machines aussi rapidement que possible.
Sudo, pour « superuser do », est un outil Linux/Unix qu’un grand nombre d’utilisateurs connaissent bien. On le trouve notamment dans Debian et de nombreuses distributions qui en découlent, notamment Ubuntu. Il permet de déclencher des actions spécifiques avec des droits administrateurs sans avoir à basculer sur un compte permettant de les réaliser. Les droits sont alors accordés de manière temporaire, après validation du mot de passe.
Un manque de contrôle sur les espaces
Hier, les chercheurs de Qualys Security ont publié que les versions 1.8.6p7 à 1.8.20 étaient toutes touchées par une faille de sécurité « sévère », exploitable localement. Estampillée CVE-2017-1367, l’ensemble de ses détails n’est pas connu, Qualys attendant qu’une majorité de machines aient été mises à jour avant de montrer notamment son prototype d’exploitation.
On sait cependant que le souci réside dans la fonction « get_process_ttyname() », c’est-à-dire dans la façon dont sudo analyse les informations tty présentes dans le fichier de statut du processus. L’usage de cette fonction peut être détourné par un utilisateur local : via une commande spécifique incluant des espaces (que sudo ne compte pas), il peut contourner les protections habituelles et obtenir des droits complets, lui permettant alors de réaliser d’autres actions.
La plupart des distributions sont déjà à jour
La plupart des distributions ont déjà été mises à jour. C’est par exemple le cas de Red Hat, qui a publié hier des correctifs pour les versions 6 et 7 de RHEL (Red Hat Enterprise Linux). Idem pour SUSE et Debian, dont les versions Wheezy, Jessie et Sid sont toutes à jour. Il est évidemment recommandé aux utilisateurs de récupérer le plus rapidement possible ces nouvelles versions pour être à l’abri.
L’avertissement vaut surtout pour les administrateurs système en charge de serveurs sous Linux. Un particulier qui contrôle sa machine ne se sentira pas forcément en danger, mais un serveur peut être manipulé par plusieurs personnes, dont l’une pourrait alors exploiter la faille pour se rendre maître de la machine.
Comme indiqué, Qualys n’en dira pas plus pour l’instant et attendra que le danger soit éloigné pour publier les détails complets sur la vulnérabilité.
