Vulnérabilité dans sudo
Date de publication :
Une vulnérabilité critique a été dans sudo, un programme permettant à un utilisateur d’exécuter une action en tant qu’un autre utilisateur (dont root).
CVE-2019-18634 [Score CVSS v3 : 7.8] : Une vulnérabilité de type dépassement de pile (stack-based buffer overflow) a été découverte dans la fonction pwfeedback pour sudo. La fonction pwfeedback permet à un utilisateur d’obtenir un retour visuel sous forme d’astérisques lorsqu’il tape son mot de passe. Un bogue dans cette fonction peut permettre à un utilisateur sans permissions particulières de provoquer un dépassement de pile.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Exécution de code arbitraire
Criticité
-
Score CVSS v3 : 7.8
Existence d’un code d’exploitation
-
Des explications détaillées sont disponibles afin de pouvoir exploiter cette vulnérabilité
Composants vulnérables
-
Sudo versions 1.7.1 à 1.8.30
CVE
-
CVE-2019-18634
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour sudo à la version 1.8.31
Solution de contournement
- Une solution de contournement est disponible ici dans la section Workaround