URL: https://linuxfr.org/news/vulnerabilite-dans-sudo Title: Vulnérabilité dans sudo Authors: erdnaxeli Benoît Sibaud, Florent Zara et Lucas Bonnet Date: 2012年01月31日T14:29:57+01:00 Tags: sécurité Score: 36 Une vulnérabilité vient d'être trouvée dans l'utilitaire [[sudo]]. Pour rappel, la commande `sudo` permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction `sudo_debug` où un appel à `getprogname()` est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu. Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo ([Todd C. Miller](http://www.gratisoft.us/todd/), programmeur [[OpenBSD]]), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction. NdM : merci à erdnaxeli pour son journal. ---- [Détails de la vulnérabilité sur la liste Full Disclosure](http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt) [Journal à l'origine de la dépêche](http://linuxfr.org/users/erdnaxeli/journaux/vulnerabilite-dans-sudo) [Debian Bug #657985 "sudo: 1.8 Format String Vulnerability"](http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=657985) [Identifiant « Common Vulnerabilities and Exposures » CVE-2012-0809](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0809) [Alerte sur le site de sudo (sudo.ws)](http://www.sudo.ws/sudo/alerts/sudo_debug.html) ----