Accueil > Alertes CERT-MC > AVIS CERTFR - 2023 - AVI - 0043

AVIS CERTFR - 2023 - AVI - 0043

Objet : Vulnérabilité dans Sudo

Référence : CERTFR-2023-AVI-0043

Risque(s)

- Contournement de la politique de sécurité
- Élévation de privilèges

Systèmes affectés

- Sudo versions 1.8.x et 1.9.x antérieures à 1.9.12p2

Résumé

Une vulnérabilité a été découverte dans sudo. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une élévation de privilèges.

La vulnérabilité est induite par un manquement dans la vérification de l'argument paramétrant l'éditeur texte de l'utilisateur.

Contournement provisoire

Il est possible d'empêcher l'utilisation d'un éditeur de texte spécifié par l'utilisateur lors de l'exécution de commande sudoedit en ajoutant les lignes suivantes dans le fichier sudoers :

Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des détails sur la correction (cf. section Documentation).

Solution

La vulnérabilité est corrigée dans la version sudo 1.9.12p2. Le déploiement de ce correctif sera réalisé selon le rythme de cycle de mise à jour de sécurité de chaque distribution. Il est conseillé de se référer aux bulletins de sécurité des éditeurs de distribution Unix, Linux et Mac.

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation

- Bulletin de sécurité Sudo du 18 janvier 2023
https://www.sudo.ws/security/advisories/sudoedit_any/  
- Référence CVE CVE-2023-22809
https://www.cve.org/CVERecord?id=CVE-2023-22809  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0043/  

 

 

AVIS CERTFR - 2023 - AVI - 0063

26 janvier 2023
actualite

Objet : Vulnérabilité dans GrafanaRéférence : CERTFR-2023-AVI-0063Risque(s)- Élévation de privilègesSystèmes affectés - Grafana versions 9.3.x anté... Lire la suite[+]

AVIS CERTFR - 2023 - AVI - 0062

26 janvier 2023
actualite

Objet : Vulnérabilité dans Xen libxlRéférence : CERTFR-2023-AVI-0062Risque(s)- Déni de service à distanceSystèmes affectés- Xen versions 4.17.x san... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2023-AVI-0043