Bulletin d'alerte Debian

DSA-4543-1 sudo -- Mise à jour de sécurité

Date du rapport :
14 octobre 2019
Paquets concernés :
sudo
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 942322.
Dans le dictionnaire CVE du Mitre : CVE-2019-14287.
Plus de précisions :

Joe Vennix a découvert que sudo, un programme conçu pour donner des droits limités de superutilisateur à des utilisateurs particuliers, quand il est configuré pour permettre à un utilisateur d'exécuter des commandes comme un utilisateur arbitraire au moyen du mot clé ALL dans une spécification RunAs, permet d'exécuter des commandes en tant que superutilisateur en spécifiant -1 ou 4294967295 comme ID utilisateur. Cela pourrait permettre à un utilisateur, doté de privilèges sudo appropriés, d'exécuter des commandes en tant que superutilisateur même si la spécification RunAs lui interdit de façon explicite un accès en tant que superutilisateur.

Pour plus de détails, consultez l'avertissement amont à l'adresse https://www.sudo.ws/alerts/minus_1_uid.html .

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1.8.19p1-2.1+deb9u1.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.8.27-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets sudo.

Pour disposer d'un état détaillé sur la sécurité de sudo, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/sudo.