LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-160-1 sudo

Bulletin d'alerte Debian

DLA-160-1 sudo -- Mise à jour de sécurité pour LTS

Date du rapport :

27 février 2015

Paquets concernés :

sudo

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0106, CVE-2014-9680.

Plus de précisions :

Cette mise à jour corrige les CVE décrites ci-dessous.

• CVE-2014-0106

  Todd C. Miller a signalé que si l'option env_reset est désactivée dans le fichier sudoers, l'option env_delete n'est pas correctement appliquée aux variables d'environnement indiquées en ligne de commande. Un utilisateur malveillant avec des droits sudo peut être capable d'exécuter des commandes avec des droits plus élevés en manipulant l'environnement d'une commande que l'utilisateur est légitimement autorisé à exécuter.

• CVE-2014-9680

  Jakub Wilk a signalé que sudo conserve la variable TZ de l'environnement de l'utilisateur sans aucune vérification. Un utilisateur ayant accès à sudo peut tirer parti de cela pour exploiter des bogues dans les fonctions de la bibliothèque C qui analysent la variable d'environnement TZ ou ouvrir des fichiers qu'autrement l'utilisateur n'aurait pas pu ouvrir. Ce dernier pourrait éventuellement provoquer des modifications dans le comportement du système lors de la lecture de certains fichiers de périphérique ou provoquer le blocage du programme exécuté avec sudo.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.7.4p4-2.squeeze.5.

Pour la distribution stable (Wheezy), ils ont été corrigés dans la version 1.8.5p2-1+nmu2.

Nous vous recommandons de mettre à jour vos paquets sudo.