Bulletin d'alerte Debian

DSA-4614-1 sudo -- Mise à jour de sécurité

Date du rapport :
1er février 2020
Paquets concernés :
sudo
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 950371.
Dans le dictionnaire CVE du Mitre : CVE-2019-18634.
Plus de précisions :

Joe Vennix a découvert une vulnérabilité de dépassement de pile dans sudo, un programme conçu pour donner des droits limités de superutilisateur à des utilisateurs particuliers, déclenchable lorsque sudo est configuré avec l'option pwfeedback activée. Un utilisateur non privilégié peut tirer avantage de ce défaut pour obtenir les privilèges complets du superutilisateur.

Plus de détails sont disponibles dans l'annonce amont à l'adresse https://www.sudo.ws/alerts/pwfeedback.html .

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 1.8.19p1-2.1+deb9u2.

Pour la distribution stable (Buster), l'exploitation du bogue est empêchée du fait d'une modification du traitement de fin de fichier (EOF) introduite dans la version 1.8.26.

Nous vous recommandons de mettre à jour vos paquets sudo.

Pour disposer d'un état détaillé sur la sécurité de sudo, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/sudo.