Une faille dans sudo
- Ce sujet contient 10 réponses, 3 participants et a été mis à jour pour la dernière fois par
, le il y a 5 années.
-
Sujet
-
Toutes les versions de Sudo antérieures à la v1.8.28 sont concernées
Faut relativiser, je n'ai toujours pas lu à ce jour de messages d'utilisateurs signalant une infection sous Linux, mais je ne lis pas tout...
Linux Mint 19.2 en est à la version 1.8.21 du paquet sudo.
Pour vérifier votre version : apt-cache policy sudo
-
Bonjour visio3
C'est ce qui permet de passer des commandes en super-utilisateur, un peu comme quand Windows te demande... (euhhh, je sais plus trop moi
) confirmation je crois 
Quand certaines commandes que tu entres dans le terminal risquent d'endommager le système, Linux a besoin de ton mot de passe, déjà pour être sûr que c'est bien toi, et ensuite pour que tu sois conscient qu'il s'agit d'une action potentiellement dangereuse.
Il faut à ce moment là faire précéder la commande du mot sudo faute de quoi la commande ne sera pas acceptée.Tu peux aussi avoir besoin d'ouvrir un logiciel graphique en super-utilisateur, par exemple le navigateur de fichiers quand tu veux ouvrir un fichier dont l'accès t'es refusé.
Mais à ce moment là, il faut utiliser pkexec car sudo risque d'engendrer des dysfonctionnements, il est plutôt réservé à la ligne de commande.https://doc.ubuntu-fr.org/sudo
Merci Mia pour ces explications
Pour l'instant je crois avoir utilisé la ligne de commande que pour resynchroniser l'heure entre Linux et Windows
Pour ce problème de "faille" que faut-il faire alors
Attendre le correctif, ou pour ceux qui sont très parano, trouver et installer une version plus récente de sudo :
peut également se faire en allant directement télécharger le paquet via les commandes sudo apt-get update et sudo apt-get upgrade ou sudo apt-get upgrade ou sudo apt-get dist-upgrade.
Étant très téméraire je m'en vais de ce pas inscrire dans mon carnet des choses à faire urgemment : Problème Sudo .... Attendre le correctif 
Bonjour à tous
pour infos, le mois dernier, j'avais mis ce post : https://forumsospc.fr/forums/Sujet/linux-importante-faille-dans-sudo/
Cordialement
Bonjour Didier,
Cette fois faut pu plaisanter sur mes pertes de mémoire, ça devient TRÈS sérieux
En plus le post date d'à peine un mois, et j'y ai répondu
Mais que vais-je devenir ?? On va dire qu'à l'époque je focalisais plutôt sur les caractères chinois trouvés dans mon fichier .Xuathority
J'ai d'ailleurs fini par trouver comment est arrivé ce problème : un logiciel graphique (baobab) ouvert avec sudo au lieu de pkexec.Je suis toujours avec la version 1.8.21p2 de sudo.
J'ai relu ton post, tu y citais un article disant que la faille concernait les versions jusqu'à 1.8.20 et sur le site Softpedia que la mise à jour 1.8.21p2 était le correctif pour les utilisateurs d'ubuntu 18.04 ltsTandis que l'article que je cite dit que "Toutes les versions de Sudo antérieures à la v1.8.28 sont concernées".
A moins que ça soit une nouvelle faille ? L'article datant du 15 octobre 2019
On a bien du mal à retrouver ses petits...@ visio3 : donc le correctif est déjà arrivé, tu as fais le bon choix en étant téméraire
BonjourSi j'ai bien compris le "sudo" est lié au terminal ou pas ?
Sinon où peut-on le trouver ?
pour voir la version Si j'ai bien compris le "sudo" est lié au terminal ou pas ?
Oui, il s'utilise dans le terminal, c'est aussi une commande, mais qui précède une autre commande, cette dernière sera alors exécutée avec les droits du super-utilisateur.
Certaines commandes ne peuvent être utilisées en simple utilisateur car
- elles sont dangereuses
- agissent sur des fichiers se trouvant hors de ton PATH (emplacements auxquels tu as accès sans autorisation).Ouvre un terminal, et fais précéder les commandes pour lesquelles tu souhaites avoir toutes les informations de la commande man, et tu auras tous les détails la concernant, mais en anglais
Tu peux cependant en récupérer une bonne partie en français en installant ce paquet (copie/colle ces commandes dans le terminal) :
sudo apt-get install manpages-fr
sudo apt-get install manpages-fr-extraBon, les explications pour sudo ne sont pas traduite
Voici une capture de la première page et dernière page, et il y a encore beaucoup entre (610 lignes en tout !)
Après, comme je le faisais remarquer en réponse à Didier, difficile de s'y retrouver, les articles sont en discordances sur la version qui corrige la faille.
Neximpact du 15/10/2019 : La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir.
La vulnérabilité, estampillée CVE-2019-14287...Plus bas dans le post de Didier :
Developpez.com du 07/06/2017 : Les chercheurs de Qualys Security ont publié que les versions 1.8.6p7 à 1.8.20 de la commande étaient toutes touchées par une faille de sécurité « sévère », exploitable localement.
La faille référencée CVE-2017-1367...Juste en dessous :
Didier wrote:toujours sur ce site Sofrpedia : j'ai traduit par google un paragraphe : "Par conséquent, les utilisateurs d’Ubuntu 19.04 doivent mettre à jour vers sudo 1.8.27-1ubuntu1.1, les utilisateurs d’Ubuntu 18.04 LTS vers sudo 1.8.21p2-3ubuntu1.1, d’Ubuntu 16.04 LTS utilisateurs vers le sudo 1.8.16-0ubuntu1.8, Ubuntu 14.04 utilisateurs ESM sudo 1.8.9p5-1ubuntu1.5 + esm2, Ubuntu 12.04 Utilisateurs ESM au sudo 1.8.3p1-1ubuntu3.8, Debian GNU / Linux 9 "Extensions" les utilisateurs au sudo 1.8.19p1-2.1 + deb9u1 et Debian GNU / Linux 10 "Buster" utilisateurs au sudo 1.8.27-1 + deb10u1."
J'ai pas retrouvé cet article, mais la version 1.8.21p2 est celle que j'ai, toi aussi probablement (LinuxMint 19 est bâtie à partir de Ubuntu18.04 Bionic)
Pour ma part, honnêtement, j'ai du mal à m'y retrouver...
Mais je fais confiance à Linux et à ses mainteneurs, ils doivent savoir ce qu'ils font, on n'est pas chez Microsoft Sinon où peut-on le trouver ?
pour voir la version Plusieurs solution pour voir la version :
Pour vérifier votre version : apt-cache policy sudo
Tu entres la commande dans le terminal
Autre façon, proposée par Didier dans son post : sudo -V
- Vous devez être connecté pour répondre à ce sujet.