flaw de sudo

emmesse · 29 janv. 2023, 18:11

Bonjour,

on a annoncé dans ce site qu'il y a une vulnérabilité avec sudo -e, pour certaines versions de sudo
comment obtient-on la version de sudo utilisé?
(ça peut vous paraître bête mais je ne sais pas comment on fait)

diesel · 29 janv. 2023, 19:34

Code : Tout sélectionner

sudo -V

Amicalement.

Jean-Marie

dezix · 29 janv. 2023, 21:12

Salut !

emmesse a écrit : ↑29 janv. 2023, 18:11 je ne sais pas comment on fait

Si tu as la <commande> en question installée sur ton système
ainsi que le paquet man-db

alors la commande : man <commande>
va afficher le Fuckin'Manual

Sinon tu peux rechercher le manuel sur : https://manpages.debian.org

Pour le cas présent => sudo > options > --version

En passant,
sudo pour le coup est une exception,
car la version est plus souvent affichée par -v (minuscule)
et souvent aussi par la forme longue de GNU --version
mais certains logiciels font exception (ce serait trop simple)

Grhim · 29 janv. 2023, 22:47

emmesse a écrit : ↑29 janv. 2023, 18:11 Bonjour,

on a annoncé dans ce site qu'il y a une vulnérabilité avec sudo -e, pour certaines versions de sudo
comment obtient-on la version de sudo utilisé?
(ça peut vous paraître bête mais je ne sais pas comment on fait)

d’après l'explication, le trou de sécurité est actif si tu a plusieurs utilisateur sur la machine .. sinon tout va bien

tu peut aussi connaitre la version d'un paquet avec apt-cache policy par exemple dans ton cas

Code : Tout sélectionner

 apt-cache policy sudo

Code : Tout sélectionner

$ acp sudo 
sudo:
  Installé : 1.9.12p2-1
  Candidat : 1.9.12p2-1
 Table de version :
 *** 1.9.12p2-1 500
        500 http://deb.debian.org/debian testing/main amd64 Packages
        100 /var/lib/dpkg/status

Le CVE-2023-22809, qui affecte Sudo 1.8.0 à 1.9.12p1 inclus, a déjà été corrigé dans Sudo 1.9.12p2 . Les versions de sudo antérieures à 1.8.0 construisent le vecteur d'argument différemment et ne sont pas affectées. Il est recommandé aux utilisateurs de mettre à jour leurs systèmes avec la dernière version.

le pourquoi : “ Sudo utilise des variables d'environnement fournies par l'utilisateur pour permettre à ses utilisateurs de sélectionner l'éditeur de leur choix. Le contenu de ces variables étend la commande réelle passée à la fonction sudo_edit() . Cependant, ce dernier s'appuie sur la présence de l' argument — pour déterminer la liste des fichiers à éditer. L'injection d'un argument supplémentaire — dans l'une des variables d'environnement autorisées peut modifier cette liste et conduire à une élévation de privilèges en éditant tout autre fichier avec les privilèges de l' utilisateur RunAs . Ce problème survient après la validation de la politique des sudoers »

https://securityonline.info/cve-2023-22 ... rivileges/

diesel · 30 janv. 2023, 09:38

Ou :

Code : Tout sélectionner

jean-marie@jean-marie:~$ dpkg -l | grep sudo
ii  gnome-sudoku                           1:3.38.0-1                       amd64        Sudoku puzzle game for GNOME
ii  hitori                                 3.38.0-1                         amd64        logic puzzle game similar to sudoku
ii  sudo                                   1.9.5p2-3+deb11u1                amd64        Provide limited super user privileges to specific users
jean-marie@jean-marie:~$

Finalement, il y a plein de manières.

Cependant, "sudo -V" ne préjuge pas, lui, que l'exécutable "sudo" se trouve dans un paquet logiciel qui s'appelle "sudo".

Et étrangement, sur ma debian buster à jour, j'en suis encore à un sudo 1.9.5p2 ?

Bon, étant le seul sudoer sur cette machine...

Amicalement.

Jean-Marie

dezix · 30 janv. 2023, 10:58

[HS]

Bonjour,

Pour qui (comme moi) n'a jamais appris à configurer sudo et qui ne veut pas utiliser su - avec le passwd de root

il y a doas

Code : Tout sélectionner

$ apt show doas                                               
Package: doas
Version: 6.8.1-2
Priority: optional
Section: admin
Maintainer: Scupake <scupake@riseup.net>
Installed-Size: 69,6 kB
Depends: libc6 (>= 2.26), libpam0g (>= 0.99.7.1)
Homepage: https://github.com/Duncaen/OpenDoas
Download-Size: 21,1 kB
APT-Sources: https://deb.debian.org/debian bullseye/main amd64 Packages
Description: minimal replacement for sudo
 OpenDoas: a portable version of OpenBSD's doas command
 doas is a minimal replacement for the venerable sudo. It was initially written
 by Ted Unangst of the OpenBSD project to provide 95% of the features of sudo
 with a fraction of the codebase.

Traduction :

remplacement minimal de sudo
 OpenDoas : une version portable de la commande doas d'OpenBSD
 doas est un remplacement minimal pour le vénérable sudo. Il a été initialement écrit
 par Ted Unangst du projet OpenBSD afin de fournir 95% des fonctionnalités de sudo
 avec une fraction de la base de code.

Je m'en sers avec un compte "admin" qui possède un mot de passe aléatoire très costaud (128 caractères aléatoires c'est max que KeePassXC peut faire),
la conf est super simple :

Code : Tout sélectionner

# cat /etc/doas.conf
permit nopass setenv { LANG=C.UTF-8 } admin

Mon utilisateur a un alias bash qui lui permet de passer en root en tapant simplement : suroot

Code : Tout sélectionner

$ alias -p | grep suroot
alias suroot='doas su -'

Si c'est pour l'administration d'un système distant, il suffit de s'y connecter via ce compte "admin" avec une clé SSH (ED25519).

C'est peut-être pas le top du top de la sécurité, mais ça me semble déjà pas trop mal.
Les clés SSH comme les MdP sont gérées avec KeePassXC.

Voilà si ça vous inspire ...

30 janv. 2023, 11:59

Bonjour,

diesel a écrit : ↑30 janv. 2023, 09:38 Et étrangement, sur ma debian buster à jour, j'en suis encore à un sudo 1.9.5p2 ?

Bullseye tu veux dire ?

Code : Tout sélectionner

laurent@nux:~$ uname -a
Linux nux 6.1.0-2-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.7-1 (2023-01-18) x86_64 GNU/Linux
$ apt list --installed -a sudo
En train de lister... Fait
sudo/testing,unstable,now 1.9.12p2-1 amd64  [installé]
sudo/stable-security 1.9.5p2-3+deb11u1 amd64
sudo/stable 1.9.5p2-3 amd64
sudo/oldstable 1.8.27-1+deb10u3 amd64

emmesse · 30 janv. 2023, 12:02

à cette url :https://www.geeek.org/sudo-cve-2021-3156/, on dit, pour ne pas être affecté, qu'il faut la version supérieur ou égal à 1.9.5p2.

Code : Tout sélectionner

 $ sudo apt-cache policy sudo
sudo:
  Installé : 1.9.5p2-3+deb11u1
  Candidat : 1.9.5p2-3+deb11u1
 Table de version :
 *** 1.9.5p2-3+deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1.9.5p2-3 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages

je ne suis donc pas concerné?

30 janv. 2023, 12:11

Salut,

emmesse a écrit : ↑30 janv. 2023, 12:02 je ne suis donc pas concerné?

https://cve.mitre.org/cgi-bin/cvename.c ... 2023-22809

Affected versions are 1.8.0 through 1.9.12.p1

Non pas!

diesel · 30 janv. 2023, 13:06

lol a écrit : ↑30 janv. 2023, 11:59 Bonjour,

diesel a écrit : ↑30 janv. 2023, 09:38 Et étrangement, sur ma debian buster à jour, j'en suis encore à un sudo 1.9.5p2 ?

Bullseye tu veux dire ?
Code : Tout sélectionner
laurent@nux:~$ uname -a
Linux nux 6.1.0-2-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.7-1 (2023-01-18) x86_64 GNU/Linux
$ apt list --installed -a sudo
En train de lister... Fait
sudo/testing,unstable,now 1.9.12p2-1 amd64  [installé]
sudo/stable-security 1.9.5p2-3+deb11u1 amd64
sudo/stable 1.9.5p2-3 amd64
sudo/oldstable 1.8.27-1+deb10u3 amd64

Oui, ma fourche a langué. Bullseye, évidemment.

Et quand je lis : "sudo/stable-security 1.9.5p2-3+deb11u1 amd64", cela voudrait-il dire que c'est une "version" de la série 1.9.5 qui aurait profité d'un "patch" lui permettant de ne plus être vulnérable ?

Amicalement.

Jean-Marie

30 janv. 2023, 13:36

Re,

diesel a écrit : ↑30 janv. 2023, 13:06 ...
Et quand je lis : "sudo/stable-security 1.9.5p2-3+deb11u1 amd64", cela voudrait-il dire que c'est une "version" de la série 1.9.5 qui aurait profité d'un "patch" lui permettant de ne plus être vulnérable ?
...

Oui.
Ce qui m'étonne. Ou bien il y a eu une seconde mise à jour qui ne concerne pas le bug dont nous parlons...
Si la 1.9.5p2-3 règle le problème pourquoi avoir publié la 1.9.5p2-3+deb11u1 ?

Sur une Machine pas à jour:

Code : Tout sélectionner

$ apt policy sudo
sudo:
  Installé : (aucun)
  Candidat : 1.9.5p2-3
 Table de version :
     1.9.5p2-3 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages

Code : Tout sélectionner

su -
# apt update

Code : Tout sélectionner

$ apt policy sudo
sudo:
  Installé : (aucun)
  Candidat : 1.9.5p2-3+deb11u1
 Table de version :
     1.9.5p2-3+deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     1.9.5p2-3 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages