{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Sudo versions 1.8.x et 1.9.x ant\u00e9rieures \u00e0 1.9.12p2","product":{"name":"Sudo","vendor":{"name":"Sudo","scada":false}}}],"affected_systems_content":"","content":"## Solution\n\nLa vuln\u00e9rabilit\u00e9 est corrig\u00e9e dans la version sudo 1.9.12p2. Le\nd\u00e9ploiement de ce correctif sera r\u00e9alis\u00e9 selon le rythme de cycle de\nmise \u00e0 jour de s\u00e9curit\u00e9 de chaque distribution. Il est conseill\u00e9 de se\nr\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs de distribution Unix,\nLinux et Mac.\n\nLa mise \u00e0\u00a0jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n\n## Contournement provisoire\n\nIl est possible d'emp\u00eacher l'utilisation d'un \u00e9diteur de texte sp\u00e9cifi\u00e9\npar l'utilisateur lors de l'ex\u00e9cution de commande *sudoedit* en ajoutant\nles lignes suivantes dans le fichier *sudoers* :\n\n`Defaults!sudoedit env_delete+=\"SUDO_EDITOR VISUAL EDITOR\"`\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\nd\u00e9tails sur la correction (cf. section Documentation).\n","cves":[{"name":"CVE-2023-22809","url":"https://www.cve.org/CVERecord?id=CVE-2023-22809"}],"links":[],"reference":"CERTFR-2023-AVI-0043","revisions":[{"description":"Version initiale","revision_date":"2023-01-20T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans sudo. Elle permet \u00e0 un attaquant\nde provoquer un contournement de la politique de s\u00e9curit\u00e9 et une\n\u00e9l\u00e9vation de privil\u00e8ges.\n\nLa vuln\u00e9rabilit\u00e9 est induite par un manquement dans la v\u00e9rification de\nl'argument param\u00e9trant l'\u00e9diteur texte de l'utilisateur.\n","title":"Vuln\u00e9rabilit\u00e9 dans Sudo","vendor_advisories":[{"published_at":"2023-01-18","title":"Bulletin de s\u00e9curit\u00e9 Sudo","url":"https://www.sudo.ws/security/advisories/sudoedit_any/"}]}