Refine your search
6 vulnerabilities found for sudo by sudo
CERTFR-2023-AVI-0043
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans sudo. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité et une élévation de privilèges.
La vulnérabilité est induite par un manquement dans la vérification de l'argument paramétrant l'éditeur texte de l'utilisateur.
Solution
La vulnérabilité est corrigée dans la version sudo 1.9.12p2. Le déploiement de ce correctif sera réalisé selon le rythme de cycle de mise à jour de sécurité de chaque distribution. Il est conseillé de se référer aux bulletins de sécurité des éditeurs de distribution Unix, Linux et Mac.
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Contournement provisoire
Il est possible d'empêcher l'utilisation d'un éditeur de texte spécifié par l'utilisateur lors de l'exécution de commande sudoedit en ajoutant les lignes suivantes dans le fichier sudoers :
Defaults!sudoedit env_delete+="SUDO_EDITOR VISUAL EDITOR"
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des détails sur la correction (cf. section Documentation).
Impacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Sudo versions 1.8.x et 1.9.x ant\u00e9rieures \u00e0 1.9.12p2",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solution\n\nLa vuln\u00e9rabilit\u00e9 est corrig\u00e9e dans la version sudo 1.9.12p2. Le\nd\u00e9ploiement de ce correctif sera r\u00e9alis\u00e9 selon le rythme de cycle de\nmise \u00e0 jour de s\u00e9curit\u00e9 de chaque distribution. Il est conseill\u00e9 de se\nr\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs de distribution Unix,\nLinux et Mac.\n\nLa mise \u00e0\u00a0jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n\n## Contournement provisoire\n\nIl est possible d\u0027emp\u00eacher l\u0027utilisation d\u0027un \u00e9diteur de texte sp\u00e9cifi\u00e9\npar l\u0027utilisateur lors de l\u0027ex\u00e9cution de commande *sudoedit* en ajoutant\nles lignes suivantes dans le fichier *sudoers* :\n\n`Defaults!sudoedit env_delete+=\"SUDO_EDITOR VISUAL EDITOR\"`\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\nd\u00e9tails sur la correction (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2023-22809",
"url": "https://www.cve.org/CVERecord?id=CVE-2023-22809"
}
],
"initial_release_date": "2023-01-20T00:00:00",
"last_revision_date": "2023-01-20T00:00:00",
"links": [],
"reference": "CERTFR-2023-AVI-0043",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2023-01-20T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans sudo. Elle permet \u00e0 un attaquant\nde provoquer un contournement de la politique de s\u00e9curit\u00e9 et une\n\u00e9l\u00e9vation de privil\u00e8ges.\n\nLa vuln\u00e9rabilit\u00e9 est induite par un manquement dans la v\u00e9rification de\nl\u0027argument param\u00e9trant l\u0027\u00e9diteur texte de l\u0027utilisateur.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Sudo",
"vendor_advisories": [
{
"published_at": "2023-01-18",
"title": "Bulletin de s\u00e9curit\u00e9 Sudo",
"url": "https://www.sudo.ws/security/advisories/sudoedit_any/"
}
]
}
CERTFR-2021-AVI-063
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans Sudo. Elle permet à un attaquant de provoquer une élévation de privilèges. Les différents éditeurs de distributions Linux ont déjà publié des correctifs.
Solution
Il est recommandé d'utiliser la mise à jour de sécurité fournie par les éditeurs des distributions Linux.
Impacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "les versions de Sudo fournies par les \u00e9diteurs de distribution Linux sans le dernier correctif de s\u00e9curit\u00e9",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
},
{
"description": "Sudo versions ant\u00e9rieures \u00e0 1.9.5p2",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solution\n\n**Il est recommand\u00e9 d\u0027utiliser la mise \u00e0 jour de s\u00e9curit\u00e9 fournie par\nles \u00e9diteurs des distributions Linux.**\n",
"cves": [
{
"name": "CVE-2021-3156",
"url": "https://www.cve.org/CVERecord?id=CVE-2021-3156"
}
],
"initial_release_date": "2021-01-27T00:00:00",
"last_revision_date": "2021-01-27T00:00:00",
"links": [],
"reference": "CERTFR-2021-AVI-063",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2021-01-27T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Sudo. Elle permet \u00e0 un attaquant\nde provoquer une \u00e9l\u00e9vation de privil\u00e8ges. Les diff\u00e9rents \u00e9diteurs de\ndistributions Linux ont d\u00e9j\u00e0 publi\u00e9 des correctifs.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Sudo",
"vendor_advisories": [
{
"published_at": "2021-01-26",
"title": "Bulletin de s\u00e9curit\u00e9 Sudo",
"url": "https://www.sudo.ws/alerts/unescape_overflow.html"
}
]
}
CERTA-2011-AVI-013
Vulnerability from certfr_avis
Une vulnérabilité dans la commande sudo permet à un utilisateur malveillant d'élever ses privilèges.
Description
La commande sudo a été enrichie d'une fonction de changement de groupe lors du passage à la version 1.7.0. Dans certaines configurations, un utilisateur malveillant peut acquérir sans vérification les droits assignés à un groupe dont il n'est pas membre.
Solution
La version 1.7.4p5 remédie à ce problème.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "sudo 1.7.0 \u00e0 1.7.4p4.",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Description\n\nLa commande sudo a \u00e9t\u00e9 enrichie d\u0027une fonction de changement de groupe\nlors du passage \u00e0 la version 1.7.0. Dans certaines configurations, un\nutilisateur malveillant peut acqu\u00e9rir sans v\u00e9rification les droits\nassign\u00e9s \u00e0 un groupe dont il n\u0027est pas membre.\n\n## Solution\n\nLa version 1.7.4p5 rem\u00e9die \u00e0 ce probl\u00e8me.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2011-0010",
"url": "https://www.cve.org/CVERecord?id=CVE-2011-0010"
}
],
"initial_release_date": "2011-01-14T00:00:00",
"last_revision_date": "2012-03-07T00:00:00",
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 Gentoo GLSA 201203-06 du 06 mars 2012 :",
"url": "http://www.gentoo.org/security/en/glsa/glsa-201203-06.xml"
}
],
"reference": "CERTA-2011-AVI-013",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2011-01-14T00:00:00.000000"
},
{
"description": "ajout du bulletinde s\u00e9curit\u00e9 Gentoo.",
"revision_date": "2012-03-07T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans la commande \u003cspan class=\"textit\"\u003esudo\u003c/span\u003e\npermet \u00e0 un utilisateur malveillant d\u0027\u00e9lever ses privil\u00e8ges.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans sudo",
"vendor_advisories": [
{
"published_at": "2011-01-12",
"title": "Bulletin de s\u00e9curit\u00e9 sudo",
"url": "http://www.sudo.ws/sudo/alerts/runas_group_pw.html"
}
]
}
CERTA-2010-AVI-299
Vulnerability from certfr_avis
Une vulnérabilité de sudo permet à un utilisateur malveillant d'élever ses privilèges.
Description
Lorsque le programme sudo est utilisé avec l'option secure path, un utilisateur malveillant peut exécuter des commandes qui ne lui sont pas autorisées en manipulant la variable PATH.
Solution
Les version 1.6.9p23 et 1.7.2p7 remédient à ce problème.
Se référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
References
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "sudo, version 1.x.",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Description\n\nLorsque le programme sudo est utilis\u00e9 avec l\u0027option secure path, un\nutilisateur malveillant peut ex\u00e9cuter des commandes qui ne lui sont pas\nautoris\u00e9es en manipulant la variable PATH.\n\n## Solution\n\nLes version 1.6.9p23 et 1.7.2p7 rem\u00e9dient \u00e0 ce probl\u00e8me.\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 des \u00e9diteurs pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2010-1646",
"url": "https://www.cve.org/CVERecord?id=CVE-2010-1646"
}
],
"initial_release_date": "2010-07-02T00:00:00",
"last_revision_date": "2010-07-02T00:00:00",
"links": [
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora FEDORA-2010-9417 du 21 juin 2010 :",
"url": "http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043012.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDVSA-2010:118 du 17 juin 2010 :",
"url": "http://www.mandriva.com/security/advisories?name=MDVSA-2010:118"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora FEDORA-2010-9402 du 14 juin 2010 :",
"url": "http://lists.fedoraproject.org/pipermail/package-announce/2010-June/042838.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA 2062 du 17 juin 2010 :",
"url": "http://www.debian.org/security/2010/dsa-2062"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Ubuntu USN-956-1 du 30 juin 2010 :",
"url": "http://www.ubuntulinux.org/usn/usn-956-1"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2010:0475 du 15 juin 2010 :",
"url": "http://rhn.redhat.com/errata/RHSA-2010-0475.html"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 Fedora FEDORA-2010-9415 du 21 juin 2010 :",
"url": "http://lists.fedoraproject.org/pipermail/package-announce/2010-June/043026.html"
}
],
"reference": "CERTA-2010-AVI-299",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2010-07-02T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 de \u003cspan class=\"textit\"\u003esudo\u003c/span\u003e permet \u00e0 un\nutilisateur malveillant d\u0027\u00e9lever ses privil\u00e8ges.\n",
"title": "Vuln\u00e9rabilit\u00e9 de sudo",
"vendor_advisories": [
{
"published_at": "2010-06-02",
"title": "Bulletin de s\u00e9curit\u00e9 du projet sudo",
"url": "http://www.sudo.ws/sudo/alerts/secure_path.html"
}
]
}
CERTA-2010-AVI-095
Vulnerability from certfr_avis
Une vulnérabilité dans Sudo permet à une personne malintentionnée de contourner la politique de sécurité.
Description
Une vulnérabilité dans la commande Sudo permet à un utilisateur, ayant la permission d'utiliser l'option « -e » (sudoedit), d'exécuter des commandes arbitraires.
Solution
Mettre à jour Sudo dans sa dernière version stable (cf. section Documentation).
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Sudo versions 1.6.9 \u00e0 1.7.2p3.",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans la commande Sudo permet \u00e0 un utilisateur, ayant\nla permission d\u0027utiliser l\u0027option \u00ab -e \u00bb (sudoedit), d\u0027ex\u00e9cuter des\ncommandes arbitraires.\n\n## Solution\n\nMettre \u00e0 jour Sudo dans sa derni\u00e8re version stable (cf. section\nDocumentation).\n",
"cves": [],
"initial_release_date": "2010-03-01T00:00:00",
"last_revision_date": "2010-03-01T00:00:00",
"links": [
{
"title": "Page de t\u00e9l\u00e9chargement de la derni\u00e8re version stable de Sudo :",
"url": "http://www.sudo.ws/sudo/stable.html"
}
],
"reference": "CERTA-2010-AVI-095",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2010-03-01T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 dans Sudo permet \u00e0 une personne malintentionn\u00e9e de\ncontourner la politique de s\u00e9curit\u00e9.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans Sudo",
"vendor_advisories": [
{
"published_at": "2010-02-22",
"title": "Bulletin de s\u00e9curit\u00e9 Sudo",
"url": "https://www.sudo.ws/security/advisories/sudoedit_escalate/"
}
]
}
CERTA-2004-AVI-371
Vulnerability from certfr_avis
sudo est un utilitaire qui permet d'accorder des droits
d'administration à des utilisateurs non privilégiés du système. Une
vulnérabilité dans l'utilisation de variables d'environnement par sudo
permet à un utilisateur local mal intentionné d'exécuter du code
arbitraire afin d'élever ses privilèges.
Solution
Mettre à jour l'utilitaire sudo avec la version 1.6.8p2 disponible sur
le site suivant :
http://www.sudo.ws
Impacted products
References
| Title | Publication Time | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Versions de sudo ant\u00e9rieures \u00e0 la version 1.6.8p2.",
"product": {
"name": "Sudo",
"vendor": {
"name": "Sudo",
"scada": false
}
}
}
],
"affected_systems_content": "",
"content": "## Solution\n\nMettre \u00e0 jour l\u0027utilitaire `sudo` avec la version 1.6.8p2 disponible sur\nle site suivant :\n\n http://www.sudo.ws\n",
"cves": [],
"initial_release_date": "2004-11-19T00:00:00",
"last_revision_date": "2004-11-24T00:00:00",
"links": [
{
"title": "R\u00e9f\u00e9rence CVE CAN-2004-1051 :",
"url": "http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1051"
},
{
"title": "Mise \u00e0 jour de s\u00e9curit\u00e9 du paquetage NetBSD sudo :",
"url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/security/sudo/README.html"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 FreeBSD pour sudo du 11 novembre 2004 :",
"url": "http://www.vuxml.org/freebsd/"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Mandrake MDKSA-2004:133 du 15 novembre 2004 :",
"url": "http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:133"
},
{
"title": "Bulletin de s\u00e9curit\u00e9 Debian DSA-596 du 24 novembre 2004 :",
"url": "http://www.debian.org/security/2004/dsa-596"
}
],
"reference": "CERTA-2004-AVI-371",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-11-19T00:00:00.000000"
},
{
"description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 Mandrake, FreeBSD et NetBSD.",
"revision_date": "2004-11-22T00:00:00.000000"
},
{
"description": "ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.",
"revision_date": "2004-11-24T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "`sudo` est un utilitaire qui permet d\u0027accorder des droits\nd\u0027administration \u00e0 des utilisateurs non privil\u00e9gi\u00e9s du syst\u00e8me. Une\nvuln\u00e9rabilit\u00e9 dans l\u0027utilisation de variables d\u0027environnement par `sudo`\npermet \u00e0 un utilisateur local mal intentionn\u00e9 d\u0027ex\u00e9cuter du code\narbitraire afin d\u0027\u00e9lever ses privil\u00e8ges.\n",
"title": "Vuln\u00e9rabilit\u00e9 dans l\u0027utilitaire sudo",
"vendor_advisories": [
{
"published_at": "2004-11-11",
"title": "Bulletin de s\u00e9curit\u00e9 sudo",
"url": "http://www.sudo.ws/sudo/alerts/bash_functions.html"
}
]
}