Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 17/10/2019, à 18:28

ngux

[Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Bonjour,
Tout le monde parle de cette faille sudo qui nécessite la version v1.8.28  pour la correction .
Sur ma 18.04.3 j'ai

Sudo version 1.8.21p2
Sudoers policy plugin version 1.8.21p2
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.21p2

et malgré tous les update, ugrade, dist-upgrade, la version ne change pas.
Question :
1/ est-ce que la version 1.8.21p2est safe ?
2/ comment installer la version v1.8.28  sur Ubuntu 18.04.3

Merci

Dernière modification par ngux (Le 18/10/2019, à 08:36)


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne

#2 Le 17/10/2019, à 19:12

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Alors il faut quand même rappeler que c'est dans des cas particuliers.
D'après ce que j'en comprends, canonical a corrigé le problème mardi, donc j'imagine que c'est bon. Je vais tester

Hors ligne

#3 Le 17/10/2019, à 19:22

xubu1957

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#4 Le 17/10/2019, à 19:26

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Oui

Hors ligne

#5 Le 17/10/2019, à 19:35

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Cela a été corrigé, donc pas de problème. Le patch a été appliqué sur la version 1.8.21p2, testé à l'instant

Hors ligne

#6 Le 17/10/2019, à 19:48

ngux

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Naziel a écrit :

Alors il faut quand même rappeler que c'est dans des cas particuliers.
D'après ce que j'en comprends, canonical a corrigé le problème mardi, donc j'imagine que c'est bon. Je vais tester

Oui, en effet, et pour tout dire j'ai pas tout compris sur l'exemple sur Linuxfr.org
J'ai juste compris qu'il faudrait avoir une app avec les autorisations pour tous sauf Root. C'est ça ? En effet cela paraît bizarre comme config si c'est ça.
Mais bon maintentnque cet exploit est public il pourrait y avoir des app/chevaux de troie qui produisent cette config pour avoir une backdoor... Un jeu pour pentesteur... Ubuntu jusqu'au 18.10 en mode Metasploitable2, lol. J'exagère bien sûr... Mais sudo... quand même... c'est pas une commande qui doit avoir un problème de sécurité...

Dernière modification par ngux (Le 17/10/2019, à 19:56)


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne

#7 Le 17/10/2019, à 20:42

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Aucun programme n'est exempt de bugs, sudo en fait partie. Après du moment que les mises à jour sortent rapidement, c'est bon.
"seul la configuration (ALL, !root) pose problème" reste une bonne question, certains disent oui, d'autres non. Et certains disent ne jamais avoir vu ce genre de règles. Donc pas sûr que ça ait une grande incidence

Hors ligne

#8 Le 18/10/2019, à 08:36

ngux

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Merci beaucoup Naziel pour l'info et tes commentaires éclairants. Je passe le sujet en [Résolu]

Dernière modification par ngux (Le 18/10/2019, à 08:38)


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne

#9 Le 19/10/2019, à 06:49

xubu1957

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Bonjour,

Retranscription d'un message dans une autre discussion :

Le 18/10/2019, galium a écrit :

bonjour

Une vulnérabilité sur Sudo permettant aux utilisateurs non autorisés d'agir en tant que root sur Linux
A récemment été corrigée dans la dernière version (1.8.28) de l'utilitaire
Le 18 octobre 2019 à 15:18, par Christian Olivier

developpez.com/actu/281492/Une-vulnerabilite-sur-Sudo


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#10 Le 19/10/2019, à 08:33

ngux

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

xubu1957 a écrit :

A récemment été corrigée dans la dernière version (1.8.28) de l'utilitaire

D'ou mon inquiétude puisque sur 18.04 nous n'avons que la version 1.8.21p2 et que je n'ai pas trouvé la façon d'upgrader vers la version 1.8.28. C'est ça que je ne comprends pas dans cette histoire : tout le monde parle le la 1.8.28 mais elle n'est pas dispo pour 18.04.3 LTS...

Dernière modification par ngux (Le 19/10/2019, à 08:36)


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne

#11 Le 19/10/2019, à 08:45

xubu1957

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

J'ai trouvé cette page > sudo.ws/stable.html#1.8.28p1


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#12 Le 19/10/2019, à 08:56

ngux

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

xubu1957 a écrit :

J'ai trouvé cette page > sudo.ws/stable.html#1.8.28p1

Oui la dernière version est donc la 1.8.28p1, mais ele ne semble pas sur le dépot de la 18.04 LTS

@tous : Vous avez quelle version de linux ? et que vous donne la commande :

$ sudo --version

Dernière modification par ngux (Le 19/10/2019, à 08:57)


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne

#13 Le 19/10/2019, à 09:02

xubu1957

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

J'ai ce retour :

xubu@xubu-ThinkPad-T410:~$ sudo --version
Version de sudo 1.8.21p2
La version du greffon de politique de sudoers est 1.8.21p2
La version de la grammaire du fichier sudoers est 46
Sudoers I/O plugin version 1.8.21p2
xubu@xubu-ThinkPad-T410:~$ 

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#14 Le 19/10/2019, à 10:12

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

J'imagine que passer à la dernière version de sudo entraînerait des problèmes de dépendances

Hors ligne

#15 Le 19/10/2019, à 11:11

ngux

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Naziel a écrit :

J'imagine que passer à la dernière version de sudo entraînerait des problèmes de dépendances

Je pense que tu as raison.
Comment as-tu trouvé que 1.8.21p2 était patchée, comment l'as tu testé ? (histoire de mourrir moins idiot... lol)


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne

#16 Le 19/10/2019, à 11:47

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Dans un premier temps parce que c'est indiqué (chose que je n'ai vu qu'après) dans le premier lien de xubu, et dans un deuxième temps car en exécutant

naziel@naziel-desktop:~$ sudo -u#-1 ls
sudo: utilisateur inconnu : #-1
sudo: impossible d'initialiser le greffon de règles
naziel@naziel-desktop:~$

l'utilisateur ayant un uid -1 n'est pas reconnu.

Sur une xubuntu 18.04.1 non patchée,

sudo -u#-1 bash

donne un terminal en root


Par contre je me suis pas amusé à modifier le fichier /etc/sudoers, mais le résultat serait le même (flemme de m'enlever les droits, tester puis passer en recovery pour rétablir les droits)

Dernière modification par Nuliel (Le 19/10/2019, à 11:48)

Hors ligne

#17 Le 19/10/2019, à 14:06

xinu

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Une vidéo (en anglais) qui explique le problème : https://www.youtube.com/watch?v=YCXnFEz_Qq8#t=05m00s


Asus PM8H61-MX USB3   Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz DDR3 8Go
Ubuntu 16.04 LTS - ESM 64 bits. Bureau Unity.     Ubuntu 20.04 LTS 64 bits . Gnome 3.36.8

Hors ligne

#18 Le 19/10/2019, à 14:25

Nuliel

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Merci pour le lien, le site associé à la vidéo est rempli d'infos intéressantes

Hors ligne

#19 Le 20/10/2019, à 21:47

tarkan99

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

Sur ma version  (xubuntu 16.04.1)

4.4.0-165-generic #193-Ubuntu SMP Tue Sep 17 17:42:52 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

version de sudo :

sudo -V
Version de sudo 1.8.16
La version du greffon de politique de sudoers est 1.8.16
La version de la grammaire du fichier sudoers est 45
Sudoers I/O plugin version 1.8.16

par contre la faille ne semble pas exister :

sudo -u#-1 bash
sudo: utilisateur inconnu : #-1
sudo: impossible d'initialiser le greffon de règles

sudo n'a pas été patché à cause de la version plus maintenu de xubuntu ?

merci d'avance !


xubuntu 22.04.1 sur machine assemblée base de Core i5 9400

Hors ligne

#20 Le 20/10/2019, à 21:52

xubu1957

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

@tarkan99

Je trouve > ubuntuupdates.org/package/core/xenial/main/security/sudo

Changelog
Version: 1.8.16-0ubuntu1.8    2019-10-14 16:07:08 UTC
  sudo (1.8.16-0ubuntu1.8) xenial-security; urgency=medium

  * SECURITY UPDATE: privilege escalation via UID -1
    - debian/patches/CVE-2019-14287.patch: treat an ID of -1 as invalid
      in lib/util/strtoid.c.
    - CVE-2019-14287
    - debian/patches/CVE-2019-14287-2.patch: fix and add to tests in
      lib/util/regress/atofoo/atofoo_test.c,
      plugins/sudoers/regress/testsudoers/test5.out.ok,
      plugins/sudoers/regress/testsudoers/test5.sh.
    - CVE-2019-14287

-- Marc Deslauriers <email address hidden> Thu, 10 Oct 2019 14:47:22 -0400

Source diff to previous version
CVE-2019-14287    Potential bypass of Runas user restrictions

Dernière modification par xubu1957 (Le 20/10/2019, à 21:53)


Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Résolu] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#21 Le 21/10/2019, à 08:25

tarkan99

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

@xubu1957
merci pour cette précision.


xubuntu 22.04.1 sur machine assemblée base de Core i5 9400

Hors ligne

#22 Le 21/10/2019, à 18:39

ngux

Re : [Résolu] update sudo sur 18.04LTS pour faille CVE-2019-14287

@tous,

Merci, super interessant


20.04 LTS et autres... sur MSI GF63 thin

Hors ligne