Linux : une vulnérabilité critique dans la commande sudo

Par:
fredericmazue

ven, 02/06/2017 - 15:33

L'éditeur de sécurité Qualys a découvert une faille dans la commande Linux sudo. Une faille que Qualys qualifie de sévère, mais que l'on peut considérer comme critique. Question de point de vue :-)

Pour mémoire, sudo pour superuser do est une commande Linux géniale, qui, bien configurée, permet d'accorder à des utilisateurs Linux le droit de faire certaines actions qui autrement exigeraient que l'utilisateur soit root. Toutes les commandes sudo exécutés sont consignées dans un fichier de log, ce qui permet à l'administrateur du système de savoir qui a fait quoi. sudo permet même de d'éviter de se connecter en root, ce qui est une bonne pratique pour éviter des maladresses aux conséquences désastreuses. C'est ainsi que sur les distributions Ubuntu Linux, par exemple, il est recommandé d'utiliser uniquement sudo, tandis que l'utilisateur root et purement est simplement désactivé par défaut sur ces systèmes.

Qualys ne donne pas de détails très techniques sur la faille dans le billet mentionné ci-dessus, mais explique quand même comment elle peut être exploitée. Le fond du problème est que sudo utilise la fonction système get_process_ttyname pour avoir des informations concernant le terminal sur lequel elle est exécutée et que par l'ajout d'espaces dans une commande exécutée en sudo, il est possible de leurrer le système en lui faisant croire que tty est un fichier système, et partant de là, obtenir les droits complets de root.

Qualys considère la vulnérabilité comme sévère, car elle nécessite la connexion d'un utilisateur qui a des droits sudo pour pouvoir être exploitée. Mais un administrateur système qui a l'infortune de devoir gérer des machines dans de tels cas considérera probablement cette vulnérabilité comme critique :-)

Toutes les versions de 1.8.6p7 à 1.8.20 de sudo sont vulnérables. Fort heureusement toutes les distributions Linux majeures (Red Hat SUSE, Debian...) ont déjà corrigé le problème. Les administrateurs système n'ont donc qu'à appliquer la mise à jour pour protéger leurs machines.