Gestion du document
Origine: bjCSIRT
Numéro: 2019/ALERTE/007
Date de l’alerte: 16/10/2019
TLP: White
Aperçu de la menace
Une vulnérabilité dans la commande Linux sudo a été découverte qui pourrait permettre à des utilisateurs sans privilège d’exécuter des commandes en tant que root.
Elle est référencée en tant que: CVE-2019-14287 dans la base de données officielle https://access.redhat.com/ le 14 Octobre 2019.
Description
Sudo est considéré comme l’un des programmes les plus importants et les plus utilisés pour les systèmes d’exploitation Unix et Linux. Il permet à un utilisateur autorisé d’exécuter une commande en tant que superutilisateur ou autre utilisateur, conformément à la politique de sécurité. Le programme est « livré » en tant que commande principale sur presque tous les systèmes Linux.
La vulnérabilité CVE-2019-14287 concerne la manière dont Sudo implémente les commandes en cours d’exécution avec un ID utilisateur arbitraire. Selon l’avis officiel RedHat, si une entrée sudoers est écrite pour permettre à l’attaquant d’exécuter une commande en tant qu’utilisateur autre que root, cette vulnérabilité peut être utilisée par l’attaquant pour contourner cette restriction. Cette faille peut être exploitée par un attaquant pour exécuter des commandes en tant que root simplement en spécifiant l’ID utilisateur « -1 » ou « 4294967295. » En effet, la fonction qui convertit l’ID utilisateur en son nom d’utilisateur traite incorrectement -1, ou son équivalent non signé 4294967295, comme étant 0, qui est toujours l’ID utilisateur de l’utilisateur root.
POC:
Si le fichier de config de la politique de sécurité /etc/suoders contient :
myhost bob = (ALL, !root) /usr/bin/vi
cad: Bob peut exécuter le programme vi avec n’importe quel utilisateur sauf root;
Alors l’attaquant peut procéder comme ceci:
sudo -u#-1 id -u OU sudo -u#4294967295 id -u
Ces commandes exécutent vi avec les privilèges root.
Mesures à prendre
Mettre à jour la version de sudo vers 1.8.28 (dernière version à ce jour 16 Octobre 2019).
Lien Utiles
https://sensorstechforum.com/cve-2019-14287-sudo-bug/
https://seclists.org/oss-sec/2019/q4/18
https://access.redhat.com/security/cve/CVE-2019-14287