Un problème de sécurité affecte les versions suivantes de Ubuntu :
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.
Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :
| Ubuntu 6.06 LTS : | |||
| sudo | 1.6.8p12-1ubuntu6.1 | ||
| sudo-ldap | 1.6.8p12-1ubuntu6.1 | ||
| Ubuntu 8.04 LTS : | |||
| sudo | 1.6.9p10-1ubuntu3.6 | ||
| sudo-ldap | 1.6.9p10-1ubuntu3.6 | ||
| Ubuntu 8.10 : | |||
| sudo | 1.6.9p17-1ubuntu2.2 | ||
| sudo-ldap | 1.6.9p17-1ubuntu2.2 | ||
| Ubuntu 9.04 : | |||
| sudo | 1.6.9p17-1ubuntu3.1 | ||
| sudo-ldap | 1.6.9p17-1ubuntu3.1 | ||
| Ubuntu 9.10 : | |||
| sudo | 1.7.0-1ubuntu2.1 | ||
| sudo-ldap | 1.7.0-1ubuntu2.1 | ||
En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.
Détails :
Il a été découvert que sudo ne validait pas correctement le chemin d’accès à la pseudo-commande ’sudoedit’. Un attaquant local pourrait exploiter ceci pour exécuter du code arbitraire en tant que root si sudo était configuré pour permettre à l’attaquant d’utiliser sudoedit. La pseudo-commande sudoedit n’est pas utilisée dans l’installation par défaut de Ubuntu. (CVE-2010-0426)
Il a été découvert que sudo ne réinitialisait pas les permissions de groupe lorsque l’option de configuration ‘runas_default’ était utilisée. Un attaquant local pourrait exploiter ceci pour élever les privilèges de groupe si sudo était configuré pour permettre à l’attaquant d’exécuter des commandes sous le compte runas_default. L’option de configuration runas_default n’est pas utilisée dans l’installation par défaut de Ubuntu. Le problème a affecté Ubuntu 8.04 LTS, 8.10 et 9.04. (CVE-2010-0427)
Origine : USN-905-1: sudo vulnerabilities (http://www.ubuntu.com/usn/USN-905-1)
Commentaires
Ecrire un commentaire Trackback