Objet: Vulnérabilité de sudo

Risque

Élévation de privilèges.

Systèmes affectés

sudo, version 1.x.

Résumé

Une vulnérabilité de sudo permet à un utilisateur malveillant d'élever ses privilèges.

Description

Lorsque le programme sudo est utilisé avec l'option secure path, un utilisateur malveillant peut exécuter des commandes qui ne lui sont pas autorisées en manipulant la variable PATH.

Solution

Les version 1.6.9p23 et 1.7.2p7 remédient à ce problème.

Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité du projet sudo :

  http://www.sudo.ws/sudo/alerts/secure_path.html
  

• Bulletin de sécurité Debian DSA 2062 du 17 juin 2010 :

  http://www.debian.org/security/2010/dsa-2062
  

• Mise à jour de sécurité Fedora FEDORA-2010-9402 du 14 juin 2010 :

  http://lists.fedoraproject.org/pipermail/package-announce/2010-June/042838.html
  

• Mise à jour de sécurité Fedora FEDORA-2010-9415 du 21 juin 2010 :

  http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043026.html
  

• Mise à jour de sécurité Fedora FEDORA-2010-9417 du 21 juin 2010 :

  http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043012.html
  

• Bulletin de sécurité Mandriva MDVSA-2010:118 du 17 juin 2010 :

  http://www.mandriva.com/security/advisories?name=MDVSA-2010:118
  

• Bulletin de sécurité RedHat RHSA-2010:0475 du 15 juin 2010 :

  http://rhn.redhat.com/errata/RHSA-2010-0475.html
  

• Bulletin de sécurité Ubuntu USN-956-1 du 30 juin 2010 :

  http://www.ubuntulinux.org/usn/usn-956-1
  

• Référence CVE CVE-2010-1646 :

  https://www.cve.org/CVERecord?id=CVE-2010-1646