Les Technologies de l’information souhaitent informer les responsables informatiques qu’un avis de sécurité a été publié concernant une vulnérabilité affectant l’utilitaire Sudo fonctionnant sous les systèmes d’exploitation Linux/Unix.
La vulnérabilité, classée critique, peut être exploitée par un attaquant lui permettant d’avoir un accès privilégié « root » (c.-à-d. le compte détenant le plus haut niveau de privilèges sur un système vulnérable), et ce à partir d’un compte non privilégié en utilisant la faille de dépassement de mémoire tampon (« buffer overflow »).
Les versions affectées sous Linux/Unix sont :
- Sudo 1.8.2 à 1.8.31p2
- Sudo 1.9.0 à 9.5p1
Nous recommandons aux unités de vérifier la disponibilité des versions corrigées chez leur fournisseur afin d’effectuer les essais, le déploiement et la mise à jour.
Pour plus d’information, veuillez consulter les liens suivants :
- https://access.redhat.com/security/vulnerabilities/RHSB-2021-002
- https://www.zdnet.com/article/10-years-old-sudo-bug-lets-linux-users-gain-root-level-access/
- https://www.bleepingcomputer.com/news/security/new-linux-sudo-flaw-lets-local-users-gain-root-privileges/
- https://www.helpnetsecurity.com/2021/01/27/cve-2021-3156/
- https://access.redhat.com/errata/RHSA-2021:0218
- https://ubuntu.com/security/notices/USN-4705-1
- https://www.debian.org/security/2021/dsa-4839
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LHXK6ICO5AYLGFK2TAX5MZKUXTUKWOJY/
Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel, à l’adresse « securite@umontreal.ca ».
Nous vous remercions de votre collaboration.
Vue d'ensemble
Gestion des contenus