L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de sudo : élévation de privilèges via l'analyse de /proc/pid/stat

Synthèse de la vulnérabilité 

Un attaquant local peut perturber le décodage de /proc/[pid]/stat par sudo, afin d'élever ses privilèges.
Systèmes impactés : Debian, Fedora, Junos Space, McAfee Web Gateway, openSUSE Leap, RHEL, Slackware, Sudo, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, InterScan Messaging Security Suite, Ubuntu.
Gravité de cette alerte : 2/4.
Nombre de vulnérabilités dans ce bulletin : 2.
Date de création : 30/05/2017.
Date de révision : 15/06/2017.
Références de cette alerte : 1117723, CERTFR-2017-AVI-238, CERTFR-2017-AVI-365, CVE-2017-1000367, CVE-2017-1000368, DLA-1011-1, DLA-970-1, DSA-3867-1, FEDORA-2017-54580efa82, FEDORA-2017-8b250ebe97, FEDORA-2017-facd994774, JSA10824, JSA10826, openSUSE-SU-2017:1455-1, openSUSE-SU-2017:1697-1, RHSA-2017:1381-01, RHSA-2017:1382-01, RHSA-2017:1574-01, SB10205, SSA:2017-150-01, SUSE-SU-2017:1446-1, SUSE-SU-2017:1450-1, SUSE-SU-2017:1626-1, SUSE-SU-2017:1627-1, SUSE-SU-2017:1778-1, Synology-SA-17:19, USN-3304-1, USN-3968-1, USN-3968-2, VIGILANCE-VUL-22865.

Description de la vulnérabilité 

Le produit sudo cherche le terminal auquel il est relié.

Pour cela, il lit le fichier /proc/pid/stat. Cependant, la séparation des champs est incorrecte. Un attaquant peut manipuler le nom de l'exécutable pour écrire dans un fichier arbitrairement choisi.

Un attaquant local peut donc perturber le décodage de /proc/[pid]/stat par sudo, afin d'élever ses privilèges.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de vulnérabilité concerne les logiciels ou systèmes comme Debian, Fedora, Junos Space, McAfee Web Gateway, openSUSE Leap, RHEL, Slackware, Sudo, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, InterScan Messaging Security Suite, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Ce bulletin concerne 2 vulnérabilités.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence débutant peut exploiter cette annonce de faille informatique.

Solutions pour cette menace 

sudo : version 1.8.20p2.
La version 1.8.20p2 est corrigée :
  https://www.sudo.ws/

Debian : nouveaux paquetages sudo.
De nouveaux paquetages sont disponibles :
  Debian 8 : sudo 1.8.10p3-1+deb8u4
  Debian 7 : sudo 1.8.5p2-1+nmu3+deb7u4

Fedora : nouveaux paquetages sudo.
De nouveaux paquetages sont disponibles :
  Fedora 25 : sudo 1.8.20p2-1.fc25
  Fedora 24 : sudo 1.8.20p2-1.fc24
  Fedora 26 : sudo 1.8.20p2-1.fc26

Juniper Junos Space : solution.
La solution est indiquée dans les sources d'information.

McAfee Web Gateway : versions 7.6.2.15 et 7.7.2.3.
Les versions 7.6.2.15 et 7.7.2.3 sont corrigées :
  https://kc.mcafee.com/corporate/index?page=content&id=KB56057

openSUSE Leap : nouveaux paquetages sudo.
De nouveaux paquetages sont disponibles :
  openSUSE Leap 42.2 : sudo 1.8.10p3-9.6.1

RHEL : nouveaux paquetages sudo.
De nouveaux paquetages sont disponibles :
  RHEL 5 : sudo 1.7.2p1-31.el5_11
  RHEL 6 : sudo 1.8.6p3-29.el6_9
  RHEL 7 : sudo 1.8.6p7-23.el7_3

Slackware : nouveaux paquetages sudo.
De nouveaux paquetages sont disponibles :
  Slackware 13.0 : sudo 1.8.20p1-*-1_slack13.0
  Slackware 13.1 : sudo 1.8.20p1-*-1_slack13.1
  Slackware 13.37 : sudo 1.8.20p1-*-1_slack13.37
  Slackware 14.0 : sudo 1.8.20p1-*-1_slack14.0
  Slackware 14.1 : sudo 1.8.20p1-*-1_slack14.1
  Slackware 14.2 : sudo 1.8.20p1-*-1_slack14.2

SUSE LE : nouveaux paquetages sudo.
De nouveaux paquetages sont disponibles :
  SUSE LE 12 RTM : sudo 1.8.10p3-2.19.1
  SUSE LE 12 SP1 : sudo 1.8.10p3-2.19.1
  SUSE LE 12 SP2 : sudo 1.8.10p3-10.10.2

Trend Micro InterScan Messaging Security : versions 9.0 CP 1629 et 9.1 CP 1675.
Les versions 9.0 CP 1629 et 9.1 CP 1675 sont corrigées :
  http://files.trendmicro.com/products/imsva/9.0/imsva_90_en_criticalpatch1629.zip
  http://files.trendmicro.com/products/imsva/9.1/imsva_91_en_criticalpatch1675.zip

Ubuntu : nouveaux paquetages sudo (07/05/2019).
De nouveaux paquetages sont disponibles :
  Ubuntu 16.04 LTS : sudo 1.8.16-0ubuntu1.6
  Ubuntu 14.04 ESM : sudo 1.8.9p5-1ubuntu1.5+esm1

Ubuntu : nouveaux paquetages sudo (31/05/2017).
De nouveaux paquetages sont disponibles :
  Ubuntu 17.04 : sudo 1.8.19p1-1ubuntu1.1
  Ubuntu 16.10 : sudo 1.8.16-0ubuntu3.2
  Ubuntu 16.04 LTS : sudo 1.8.16-0ubuntu1.4
  Ubuntu 14.04 LTS : sudo 1.8.9p5-1ubuntu1.4

Wind River Linux : solution de mi-juillet 2017.
La solution est indiquée dans les sources d'information.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une alerte de vulnérabilité de système. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.