Infos - Souscription

09 75 18 80 51

[Brève] Linux corrige une faille dans la commande sudo

Illustration avec un ordinateur portable sur les genoux

Une faille a été découverte dans la commande sudo, utilisée par les distributions Linux, mais d'autres systèmes d'exploitations basés sur Unix (macOS, FreeBSD,...) ne semblent pas touchés.

Les failles ne sont pas l’apanage des systèmes d'exploitations propriétaires, tels que Windows et macOS. Les distributions Linux sont la cible d'une faille dans un des programmes les plus utilisés.

La commande 'sudo' (Substitude User DO, faire en se substituant à l'utilisateur) permet d'exécuter un problème comme un autre utilisateur de la machine (administrateur ou root). Or, des chercheurs de Qualys Security ont découvert une faille dans les versions 1.8.6 à 1.8.20. Le problème vient de la fonction get_process_ttyname qui permet de récupérer le nom du processus. Grâce à une commande spécifique, il peut contourner les sécurités mises en place par les développeurs. Le contournement semble spécifique au noyau Linux et ne semble pas touché les autres systèmes basés sur Unix tels que Free BSD, macOS et Solaris.

En une journée, la faille a été corrigée par les développeurs, dirigés par un programmeur d'OpenBSD, et le patch est déployé. Les distributions Linux (Ubuntu, RedHat, Debian, SUSE,...) ont mis à disposition le patch et recommandent la mise à jour. Android doit aussi transmettre la mise à jour.

Partager sur Facebook  Partager sur Twitter  Partager sur Google Plus 

Vous souhaitez recevoir nos actualités par mail ? Abonnez-vous à notre newsletter :