Il aura fallu près de dix ans pour qu’on découvre Baron Samedit. Qualys* a donné ce nom à une vulnérabilité (CVE-2021-3156) qui touche Sudo, utilitaire standard sur les systèmes Unix et Linux pour exécuter des commandes avec les droits d’administration.
On aura reconnu l’allusion à Baron Samedi. Mais pourquoi avec un t ? Parce que la vulnérabilité implique la commande sudoedit, destinée à éditer des fichiers. On l’utilise en l’occurrence pour activer une autre faille, présente dans l’exécution de Sudo en mode shell (option -i ou -s).
Dans les grandes lignes, le problème tient à la gestion de la barre oblique inversée qui sert de caractère d’échappement. Exécuté en mode shell, Sudo en accole une à tous les caractères spéciaux dans les arguments de la ligne de commande.
La politique de sécurité sudoers inclut du code qui concatène l’ensemble en un tampon « user_args ». Et supprime les caractères d’échappement, notamment à des fins de journalisation. Le souci se pose si un argument se termine par une barre oblique seule. On entre alors dans une boucle qui mène au dépassement du tampon.
Normalement, ce cas ne se présente pas. Mais on peut le forcer en exécutant sudoedit… avec l’option -s ou -i. Cela permet de conserver la faille du mode shell. Tout en empêchant Sudo de doubler les barres obliques dans les arguments.
Baron Samedit était apparu à l’été 2011 avec Sudo 1.8.2. Toutes les versions ultérieures sont touchées dans leur configuration par défaut. Conséquence potentielle : l’obtention de privilèges d’administration par tout utilisateur local, authentifié ou non et présent ou non dans le fichier sudoers.
La solution ? Mettre à jour Sudo (au moins en version 1.9.5p2+) ou les distributions Linux qui l’embarquent (les principales ont appliqué le correctif).
* Qualys propose un modèle de dashboard à utiliser sur sa plate-forme cloud pour évaluer la présence de Baron Samedit. Il est illustré ci-dessous.
Illustration principale © swvist / CC BY-SA 2.0
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.