LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2019 / Informations sur la sécurité -- DLA-1964-1 sudo

Bulletin d'alerte Debian

DLA-1964-1 sudo -- Mise à jour de sécurité pour LTS

Date du rapport :

17 octobre 2019

Paquets concernés :

sudo

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 942322.
Dans le dictionnaire CVE du Mitre : CVE-2019-14287.

Plus de précisions :

Dans sudo, un programme conçu pour donner des droits limités de superutilisateur à des utilisateurs particuliers, un attaquant avec accès à un compte sudoer Runas ALL peut contourner certaines listes noires de politiques et de modules PAM de session, et peut provoquer une connexion incorrecte en invoquant sudo avec un ID utilisateur contrefait. Par exemple, cela permet le contournement de la configuration (ALL,!root) pour une commande « sudo -u#-1 ».

Consulter https://www.sudo.ws/alerts/minus_1_uid.html pour plus d’informations.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.8.10p3-1+deb8u6.

Nous vous recommandons de mettre à jour vos paquets sudo.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.