Bulletin d'alerte Debian

DSA-946-2 sudo -- Mauvaise vérification des entrées

Date du rapport :
20 janvier 2006
Paquets concernés :
sudo
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 342948.
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 16184.
Dans le dictionnaire CVE du Mitre : CVE-2005-4158, CVE-2006-0151.
Plus de précisions :

La correction des vulnérabilités dans la mise à jour précédente du paquet sudo fonctionnait correctement, mais était trop stricte pour certains environnements. Dans cette mise à jour, nous avons ainsi passé en revue les changements et permis à certaines variables d'environnement d'entrer à nouveau dans l'environnement privilégié d'exécution.

L'option de configuration « env_reset » est maintenant activée par défaut. Seules seront préservées les variables d'environnement HOME, LOGNAME, PATH, SHELL, TERM, DISPLAY, XAUTHORITY, XAUTHORIZATION, LANG, LANGUAGE, LC_* et USER, en plus des variables SUDO_*.

Voici ci-dessous l'intégralité du bulletin précédent :

On a découvert que sudo, un programme privilégié qui fournit des droits limités du superutilisateur à des utilisateurs spécifiques, transmettait plusieurs variables d'environnement au programme exécuté avec des droits privilégiés. Dans le cas de chemins d'inclusion (par exemple pour Perl, Python, Ruby ou d'autres langages de script), du code arbitraire pouvait être exécuté en mode privilégié si l'attaquant faisait pointer vers une version modifiée d'une bibliothèque.

Cette mise à jour modifie le comportement de sudo et limite le nombre de variables d'environnement gérées à LC_*, LANG, LANGUAGE et TERM. Les variables supplémentaires ne sont transmises que si elles sont spécifiées dans le paramètre env_check du fichier /etc/sudoers, ce qui peut être nécessaire pour que certains scripts puissent continuer à fonctionner.

Pour l'ancienne distribution stable (Woody), ce problème a été corrigé dans la version 1.6.6-1.6.

Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 1.6.8p7-1.4.

Pour la distribution instable (Sid), ce problème sera bientôt corrigé.

Nous vous recommandons de mettre à jour votre paquet sudo. Pour la distribution instable (Sid), « Defaults = env_reset » doit être ajouté manuellement au fichier /etc/sudoers.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.6-1.6_sparc.deb

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.dsc
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4.diff.gz
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/s/sudo/sudo_1.6.8p7-1.4_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Les sommes MD5 des fichiers indiqués sont disponibles dans la nouvelle annonce de sécurité.