Une faille dans Sudo vieille de 10 ans touche Linux
La société Qualys a découverte une vulnérabilité au sein de l'outil "sudo". Référencée avec le nom CVE-2021-3156, elle dispose aussi d'un nom plus sexy : Baron Samedit.
Pour rappel, la commande "sudo", par l'intermédiaire du fichier de configuration /etc/sudoers permet de déléguer un accès "root" limité, le plus haut niveau de privilèges.
Lorsque cette vulnérabilité est exploitée, l'attaquant peut devenir root sur la machine à partir de son compte sans privilège spécifique. Le compte n'a même pas besoin d'être présent dans le fichier /etc/sudoers. Vous l'aurez compris, la faille Baron Samedit permet une élévation de privilèges lorsqu'elle est exploitée.
Quelles sont les distributions vulnérables ? Pour faire simple, toutes les distributions où le fichier "sudoers" est présent ! C'est-à-dire énormément... D'autant plus que cette vulnérabilité est présente dans le code de Sudo depuis juillet 2011, sans jamais être détectée jusqu'ici.
Plus précisément, les versions de Sudo 1.8.2 à 1.8.31p2 et 1.9.0 à 1.9.5p1 sont concernées par la vulnérabilité CVE-2021-3156. Sur le site officiel de Sudo, une commande est fournie pour vérifier si son système est vulnérable ou non :
sudoedit -s '\' `perl -e 'print "A" x 65536'`
Si la commande retourne le message "Segmentation fault", cela signifie que votre serveur utilise une version de Sudo vulnérable.
Au cours des deux dernières années, il y avait eu deux autres vulnérabilités découvertes dans Sudo. Néanmoins, d'après les experts celle-ci est bien la plus dangereuse. La bonne nouvelle, c'est qu'il existe un patch correctif pour la faille Baron Samedit. Vous devez déployer sur vos systèmes la version Sudo 1.9.5p2. A installer dès que possible !
Il va y avoir du taff…