Avis du CERT-FR

Objet: Vulnérabilité dans Sudo

Gestion du document

Référence	CERTA-2004-AVI-324
Titre	Vulnérabilité dans Sudo
Date de la première version	21 septembre 2004
Date de la dernière version	12 octobre 2004
Source(s)	Bulletin de sécurité Sudo
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données

Systèmes affectés

Sudo version 1.6.8.

Résumé

Une vulnérabilité présente dans Sudo permet à un utilisateur local mal intentionné d'accèder à des informations confidentielles.

Description

Une vulnérabilité est présente dans la gestion des liens symboliques sur les fichiers temporaires créés avec la commande sudoedit (sudo -u). Cette vulnérabilité peut-être exploitée par un utilisateur mal intentionné pour obtenir l'accès en lecture sur n'importe quel fichier du système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Avis de sécurité FreeBSD du 20 septembre 2004 :

http://www.vuxml.org/freebsd/

Avis de séurité sudo :

http://www.sudo.ws/sudo/alerts/sudoedit.html

Gestion détaillée du document

le 21 septembre 2004: version initiale.
le 12 octobre 2004: Modification sur les versions vulnérables.