Nouvelle faille découverte pour Linux

Sudo -u Annonces, Actus et Infos / Linux et le libre

Fafoulous Membre non connecté

Le 21/10/2019 à 20h06

Voir le profil du membre Fafoulous
Inscrit le : 27/07/2011
Groupes :

Bonjour,

Je voulais partager avec vous une annonce faite il y a une semaine environ dans plusieurs publications.
Pour faire simple, il s'agirait d'une faille avec sudo (CVE-2019-14287) qui en temps normal vérifie si un utilisateur peut ou pas exécuter un programme. Apparemment, si on s'identifie avec l'utilisateur -1 ou 4294967 295 (sauf erreur qui se traduit en -1 en binaire signé) permet d'acquérir les droits root sur n'importe quel fichier (système ou autre).

Un patch a été déployer sur la version sudo 1.8.28, disponible sous mageia depuis le 15 octobre.

Intéressant non ?
voilà c'est tout.

source :
https://www.tomsguide.fr/linux-une-faille-dans-sudo-permet-dobtenir-simplement-lacces-root/
https://www.nextinpact.com/news/104434-linux-importante-faille-dans-sudo-plupart-distributions-mises-a-jour.htm
https://www.developpez.com/actu/142003/Linux-une-faille-de-securite-a-ete-detectee-dans-sudo-mais-a-deja-ete-corrigee-sur-Red-Hat-SUSE-et-Debian/
https://www.crazyws.fr/securite/faille-de-securite-sur-sudo-NF12Z.html
https://linuxfr.org/users/claudex/journaux/faille-dans-sudo

Édité par Fafoulous Le 21/10/2019 à 20h08

config : hp omen 17" i5 6400, Dual boot dd 1To win10 + SSD 120Go Mageia 9 KDE,
dual graphique intel hd & nvidia gtx 960m

Ami age Membre non connecté

Modérateur

Le 21/10/2019 à 22h49

#259434

Voir le profil du membre Ami age
Inscrit le : 18/08/2012
Site internet
Groupes :
Modérateur

Oui j'ai vu cela aussi.

Cette faille etait exploitable dans des cas spécifiques.

C'est corrigé.

Ce qui m'a surpris, c'était que ça donnait les droits super utilisateur
Et c'était assez "simple"

Édité par Ami age Le 22/10/2019 à 08h15

_______________________________________________________________________

___________________________________ Un petit clic pour Mageia ? =>> CLIQUEZ I C I :
.

stroibe974 Membre non connecté

Modérateur

Le 22/10/2019 à 07h11

#259440

Voir le profil du membre stroibe974
Inscrit le : 13/08/2018
Groupes :
Modérateur

Fafoulous :

Pour faire simple, il s'agirait d'une faille avec sudo (CVE-2019-14287)

Je sais pas pour vous, mais j'avoue que pour ma part j'ai été content de me dire que sous Mageia on n'utilisait pas sudo

Mageia 8 (64bits) - Plasma - Intel Core i7-8700K @ 3.70Ghz - 16Go RAM

Yuusha Membre non connecté

Modérateur Administrateur Forgeron

Le 22/10/2019 à 14h12

#259455

Voir le profil du membre Yuusha
Inscrit le : 04/07/2017
Groupes :
Modérateur
Administrateur
Forgeron

stroibe974 :

Fafoulous :

Pour faire simple, il s'agirait d'une faille avec sudo (CVE-2019-14287)

Je sais pas pour vous, mais j'avoue que pour ma part j'ai été content de me dire que sous Mageia on n'utilisait pas sudo

Tu n'utilises pas sudo

funix Membre non connecté

Le 22/10/2019 à 22h12

#259470

Voir le profil du membre funix
Inscrit le : 17/12/2012
Site internet
Groupes :

c'est pas forcément mieux, quand on veut passer root, on tape un su et on se retrouve root pour toutes les commandes, alors qu'avec sudo, tu es root strictement pour la commande que tu invoques, ça évite bien des bêtises dans ton shell root (du style le rm -f, c'est du vécu...)

FUNIX - http://www.funix.org Mettez un pingouin dans votre PC
Blog - http://olivier.hoarau.org

magnux77 Membre non connecté

Membre d'Honneur

Le 23/10/2019 à 10h03

#259478

Voir le profil du membre magnux77
Inscrit le : 21/09/2009
Groupes :
Membre d'Honneur

Quand je débutais en Unix, quand je passais root, je passais la console en caractères rouges... (Après, je ne le faisais plus, j'étais root tout le temps).

...depuis Mandrake 7
Membre de l'April - « promouvoir et défendre le Logiciel Libre»
Soutien Framasoft - « Changer le monde, un octet à la fois»
Config n°1 : cpu=AMD64x6 mem=16G SSD=64G HDD=1T OS=Mageia8-64 DE=Xfce, Config n°2 : Dell Latitude E6410 SSD=120G OS=Mageia8 DE=Xfce, Config n°3 : ThinkpadR40 SSD=32G OS=[Manjaro, Parabola, Mageia6] DE=Xfce, Config n°4 : EeePC901 SSD=20Gb, OS=[SliTaz5/Lxde, Mageia8/Xfce]

Jybz Membre non connecté

Administrateur Forgeron

Le 23/10/2019 à 13h10

#259486

Voir le profil du membre Jybz
Inscrit le : 10/10/2018
Groupes :
Administrateur
Forgeron

magnux77 :

Quand je débutais en Unix, quand je passais root, je passais la console en caractères rouges... (Après, je ne le faisais plus, j'étais root tout le temps).

Il est possible de passer automatiquement la console en rouge en modifiant les variables PS1, et on peut le faire avec les bashrc je suppose. Donc entièrement automatique. On pourrait même le faire par défaut sous Mageia.

Téléverser une image : /wiki/hebergement-de-fichiers-sur-mlo

Arch	Machine	OS
x86_64	lenovo x250	mga9
armv7hl	bananapro	mga9
aarch64	Raspberry Pi 4B	mga9

Meuz Membre non connecté

Le 23/10/2019 à 13h40

#259487

Voir le profil du membre Meuz
Inscrit le : 06/08/2011
Groupes :

J'ai depuis longtemps une invite de commande en rouge pour root, et en vert pour le user.

nic80 Membre non connecté

Modérateur

Le 23/10/2019 à 20h59

#259504

Voir le profil du membre nic80
Inscrit le : 06/08/2018
Groupes :
Modérateur

Bonjour,

Jybz :

Il est possible de passer automatiquement la console en rouge en modifiant les variables PS1, et on peut le faire avec les bashrc je suppose

Un peu comme doit le faire le paquet colorprompt ( aprés je n' ai pas testé) ?

Citation :

A little bash profile extension to color your user prompt appropriately. It will make regular logins green and root logins red.

Édité par nic80 Le 23/10/2019 à 21h00

Annonces, Actus et Infos / Linux et le libre

Répondre

Vous n'êtes pas autorisé à écrire dans cette catégorie

Notre Mission	Liens du site	Nous joindre	MLO est hébergé par
MLO est le forum francophone de la distribution Mageia et vous propose également un portail dédié aux débutants. MLO vous apporte un support sur la distribution grâce à son forum et vous offre des nouvelles de la distribution, des logiciels libres et de l'Open Source en général. Notre site a aussi pour but de vous montrer que Mageia est un système d'exploitation complet et facile à prendre en main. Vous apprendrez à installer simplement et à administrer efficacement votre système en un temps record.	Forum Documentation News du libre Mageia	Contacter MLO Mastodon MLO Flux RSS	MLO est un projet soutenu par Nos partenaires et amis
MLO est mis à disposition selon les termes de la licence Creative Commons.