S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 septembre 2004
N° CERTA-2004-AVI-324-001
Affaire suivie par: CERT-FR
le 21 septembre 2004

Avis du CERT-FR

Objet: Vulnérabilité dans Sudo

Gestion du document

Référence CERTA-2004-AVI-324-001
Titre Vulnérabilité dans Sudo
Date de la première version 21 septembre 2004
Date de la dernière version 12 octobre 2004
Source(s) Bulletin de sécurité Sudo
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

Sudo version 1.6.8.

Résumé

Une vulnérabilité présente dans Sudo permet à un utilisateur local mal intentionné d'accèder à des informations confidentielles.

Description

Une vulnérabilité est présente dans la gestion des liens symboliques sur les fichiers temporaires créés avec la commande sudoedit (sudo -u). Cette vulnérabilité peut-être exploitée par un utilisateur mal intentionné pour obtenir l'accès en lecture sur n'importe quel fichier du système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 septembre 2004
    version initiale.
    le 12 octobre 2004
    Modification sur les versions vulnérables.