S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 avril 2002
N° CERTA-2002-AVI-088
Affaire suivie par: CERT-FR
le 26 avril 2002

Avis du CERT-FR

Objet: Vulnérabilité de sudo

Gestion du document

Référence CERTA-2002-AVI-088
Titre Vulnérabilité de sudo
Date de la première version 26 avril 2002
Date de la dernière version 26 avril 2002
Source(s) Avis de sécurité Red Hat RHSA-2002:072-07
Avis de sécurité Mandrake MDKSA-2002:028
Avis de sécurité Debian DSA-128-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Elévation de privilèges.

Systèmes affectés

Sudo versions 1.6.5 et antérieures.

Résumé

Un utilisateur mal intentionné peut exploiter une vulnérabilité de la commande sudo pour obtenir les droits de l'administrateur root.

Description

La commande sudo permet de donner les droits de l'administrateur root à certains utilisateurs du système pour exécuter certaines commandes particulières.

Il est possible d'exécuter la commande sudo avec l'option -p, pour spécifier le prompt de mot passe devant être affiché. En choisissant habilement le paramètre de cette option, un utilisateur local mal intentionné peut provoquer un débordement de mémoire qui peut être exploité pour exécuter du code arbitraire avec les droits de l'administrateur.

Contournement provisoire

Retirer le bit suid de la commande /usr/bin/sudo.

Solution

Installer la version 1.6.6 disponible sur le site de Sudo, ou appliquer le correctif de votre éditeur.

Documentation

Gestion détaillée du document

    le 26 avril 2002
    version initiale.