Informations de sécurité / 2023 / Informations sur la sécurité -- DSA-5321-1 sudo

Bulletin d'alerte Debian

DSA-5321-1 sudo -- Mise à jour de sécurité

Date du rapport :

18 janvier 2023

Paquets concernés :

sudo

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2023-22809.

Plus de précisions :

Matthieu Barjole et Victor Cutillas ont découvert que sudoedit dans sudo, un programme conçu pour donner des droits limités de superutilisateur à des utilisateurs particuliers, ne gérait pas correctement les -- pour séparer l'éditeur et les paramètres provenant des fichiers à modifier. Un utilisateur local autorisé à éditer certains fichiers peut tirer avantage de ce défaut pour modifier un ficher non autorisé par la politique de sécurité, avec pour conséquence une élévation de privilèges.

Plus de détails sont disponibles dans l'annonce amont à l'adresse https://www.sudo.ws/security/advisories/sudoedit_any/ .

Pour la distribution stable (Bullseye), ce problème a été corrigé dans la version 1.9.5p2-3+deb11u1.

Nous vous recommandons de mettre à jour vos paquets sudo.

Pour disposer d'un état détaillé sur la sécurité de sudo, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/sudo.