Avis du CERT-FR

Objet: Vulnérabilité dans Sudo

Gestion du document

Référence	CERTA-2010-AVI-095
Titre	Vulnérabilité dans Sudo
Date de la première version	01 mars 2010
Date de la dernière version	01 mars 2010
Source(s)	Bulletin de sécurité Sudo du 22 février 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité

Systèmes affectés

Sudo versions 1.6.9 à 1.7.2p3.

Résumé

Une vulnérabilité dans Sudo permet à une personne malintentionnée de contourner la politique de sécurité.

Description

Une vulnérabilité dans la commande Sudo permet à un utilisateur, ayant la permission d'utiliser l'option « -e » (sudoedit), d'exécuter des commandes arbitraires.

Solution

Mettre à jour Sudo dans sa dernière version stable (cf. section Documentation).

Documentation

Bulletin de sécurité Sudo du 22 février 2010

http://www.sudo.ws/sudo/security.html

Page de téléchargement de la dernière version stable de Sudo :

http://www.sudo.ws/sudo/stable.html

Gestion détaillée du document

le 01 mars 2010: version initiale.