Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

OS X : une faille vieille de cinq mois permet de détourner la commande sudo

Une longue sieste

OS X : une faille vieille de cinq mois permet de détourner la commande sudo

Le 29 août 2013 à 08h50

Une faille vieille de cinq mois sous OS X est désormais plus simple à exploiter. Présente dans toutes les versions de Lion et Mountain Lion, elle pourrait être utilisée en complément d'autres méthodes d'attaques pour aboutir à des vols d'informations ou à l'installation de rootkits.

Le faux antivirus Mac Defender, qui avait fait de nombreuses victimes

Une faille datant de mars dernier

La plateforme OS X est soumise comme toutes les autres à des problèmes de sécurité. Si les pirates s’y intéressent moins à cause de « débouchés » bien plus nombreux sous Windows, ils réussissent parfois quelques tours de force, notamment à cause d’une absence de méfiance côté utilisateur. Ainsi, une faille non-corrigée depuis plusieurs mois est désormais exploitable plus facilement et pourrait être mariée à d’autres méthodes d’attaque pour maximiser les dégâts.

 

On trouve donc à la base une « vieille » faille puisque datant de mars dernier. Elle réside dans un composant Unix bien connu notamment des utilisateurs d’Ubuntu et d’autres distributions Linux : sudo. Cet outil sert à accorder temporairement des droits « super utilisateur » à l’utilisateur en cours s’il donne le bon mot de passe. À partir de là, il est possible par exemple d’aller consulter les fichiers d’un autre compte utilisateur, ce qui est impossible avec un compte classique. Le fonctionnement est d’ailleurs identique sous OS X.

Valable sur Lion et Mountain Lion 

Cette faille, relativement délicate à exploiter, n’a pas été corrigée par Apple au cours des cinq derniers mois. Seulement voilà, elle est maintenant moins complexe à utiliser du fait de nouvelles découvertes à son sujet. Les développeurs du kit Metasploit ont ainsi ajouté un nouveau module permettant d’exploiter la faille plus facilement. Pour rappel, Metasploit est un kit open source qui permet une utilisation plus simplifiée des failles et qui se destine à tous types de développeurs. Il est édité par la société de sécurité Rapid7.

 

La faille elle-même peut à la base être exploitée en réglant la date du Mac au 1er janvier 1970. Si cette date est modifiée après avoir utilisée la commande « sudo », la machine peut être amenée à offrir des privilèges supplémentaires sans même réclamer un mot de passe. Et non seulement la faille est plus simple à utiliser, mais elle est disponible sur l’ensemble des versions 10.7 et 10.8 d’OS X, autrement dit Lion et Mountain Lion. On ne sait pas si la mise à jour 10.8.5, a priori imminente, corrige le problème, ni si Mavericks, actuellement en travaux, est concerné.

 

Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup :

  • L’utilisateur qui est connecté à la session doit déjà lui-même posséder des droits administrateurs
  • La commande « sudo » doit avoir été utilisée au moins une fois dans le passé
  • L’attaquant doit posséder un accès physique ou à distance

La faille en elle-même ne peut donc pas être exploitée à travers la méthode qui produit les plus gros dégâts : une page web. Il n’est donc pas question d’une exploitation à très grande échelle. Cependant, les utilisateurs devront tout de même faire attention.

Utilisable en conjonction d'autres vecteurs d'attaques 

HD Moore, fondateur du kit Metasploit et directeur de la recherche chez Rapid7, indique ainsi que le bug est « significatif » car il permet à n’importe quel compte compromis d’obtenir des privilèges. Les conséquences peuvent alors devenir sérieuses puisque le système « exposera des choses comme les mots de passe en clair depuis le Trousseau et rend possible pour l’attaquant d’installer un rootkit permanent ». Il indique cependant ne pas être surpris par l’absence de correction d’Apple, la firme ayant selon lui un long historique de lenteur sur la sécurité des composants open source qu’elle intègre.

 

Globalement, il y a assez peu de chances pour que la faille soit exploitée uniquement pour elle-même, à cause justement des conditions à mettre en place. Toutefois, elle pourrait être utilisée en conjonction d’autres menaces, notamment l’ingénierie sociale comme ce fut le cas pour le faux antivirus Mac Defender. Pour rappel, ce malware se présentait sous la forme d’un logiciel de sécurité qui attirait l’utilisateur jusqu’à une formule d’abonnement après l’avoir copieusement averti de menaces dangereuses sur sa machine. Plutôt que de l’argent, ou en complément, ce type d’application néfaste pourrait en profiter pour utiliser d’autres failles et installer un rootkit.

Commentaires (90)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Choub a écrit :



Exact, c’est pourquoi la faille n’est pas comblée, car elle est loin d’être prioritaire et si dangereuse que ça.



Mais depuis quelques années déjà, dès qu’on trouve une faille, même minime, dans un système (win, osx, ios, android, etc..), on en fait un patacaisse, alors qu’en creusant un peu, bah ça touche pas grand monde. Ca a fait la même chose avec java et le plugin pour navigateur, qui n’est pas activé à l’installation mais manuellement par l’utilisateur…



‘fin bref, media, buzz, audience, fric, etc, etc…





Moi je trouve l’article de PC Inpact plutôt bien : il n’y a pas de sensationnalisme. C’est purement informatif. En gros t’utilise un Mac pour ta famille, là c’est bien de savoir que cette faille existe, car tu as peut être utilisé sudo pour toi, mais ton gamin lui se fera prendre par un malware random, du coup, si tu pensais tes données perso cloisonnées, ce n’est plus forcément le cas.


votre avatar







Skeeder a écrit :



Moi je trouve l’article de PC Inpact plutôt bien : il n’y a pas de sensationnalisme. C’est purement informatif. En gros t’utilise un Mac pour ta famille, là c’est bien de savoir que cette faille existe, car tu as peut être utilisé sudo pour toi, mais ton gamin lui se fera prendre par un malware random, du coup, si tu pensais tes données perso cloisonnées, ce n’est plus forcément le cas.





C’est vrai, l’article est bien tourné ya pas de soucis là dessus ^^

C’est souvent les commentaires qui sont très (trop?) tranchants et généralistes en fait.


votre avatar







Choub a écrit :



Ouai c’est géré en natif, autant que tu veux.





C’est pas 16 maximum ? en tout cas sous SL c’est le cas <img data-src=" />


votre avatar







Skeeder a écrit :



Du coup la faille a peu de chance d’être exploité sur des utilisateurs novices; et les utilisateurs confirmés sont moins enclins à tomber dans le panneau d’un autre vecteur d’attaque comme décrit dans l’article.





Encore faut-il que savoir taper une commande fasse de toi un utilisateur confirmé<img data-src=" />


votre avatar







jb18v a écrit :



C’est pas 16 maximum ? en tout cas sous SL c’est le cas <img data-src=" />





Bah en fait ça j’en savais rien, mais je connais personne qui ai besoin d’autant de bureaux ^^



Merci pour l’info ;)


votre avatar



Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup : 




 L’utilisateur qui est connecté à la session doit déjà lui-même posséder des droits administrateurs




Je crois que c’est déjà pas courant.



La commande « sudo » doit avoir été utilisée au moins une fois dans le passé



Je connais un seul utilisateur de OSX, et je serais bien étonné qu’il connaisse cette commande.



L’attaquant doit posséder un accès physique ou à distance



Donc en résumé l’attaquant doit posséder un accès.



Et donc la faille a tout de suite l’air moins facile à exploiter.

votre avatar



Pour autant, plusieurs conditions sont nécessaires pour qu’un attaquant réussisse son coup : 




 L’utilisateur qui est connecté à la session doit déjà lui-même posséder des droits administrateurs




Je ne comprends pas, là….

Ca ne marche pas comme sous un linux, OSX ?

Ca veut dire quoi des droits administrateurs sous OSX ? Concrètement ca veut dire pouvoir avoir les droits du root ?



Si tu peux déjà avoir les droits du root, concretèment ca veut dire que tu peux déjà faire tout ce que te permets le sudo, non ?

Elle est où la faille dans ce raisonnement ?



PS : par contre si apple conniassait une compromission du sudo depuis 5 mois et n’a rien fait (sous reserve que ca ait les mêmes implications que sous un linux), honnêtement c’est pas très sérieux.

votre avatar







Drepanocytose a écrit :



Je ne comprends pas, là….



Si tu peux déjà avoir les droits du root, concretèment ca veut dire que tu peux déjà faire tout ce que te permets le sudo, non ?

Elle est où la faille dans ce raisonnement ?







La faille c’est que tu peux faire sudo sans qu’il te demande le mot de passe du compte admin. Sous OSX un compte admin peut faire sudo, mais il doit taper son mot de passe pour passer root, en temps normal. Pas avec la faille.







Drepanocytose a écrit :



PS : par contre si apple conniassait une compromission du sudo depuis 5 mois et n’a rien fait (sous reserve que ca ait les mêmes implications que sous un linux), honnêtement c’est pas très sérieux.







Non ça n’a pas du tout les même implications, sudo n’était pas vraiment utilisé sous OSX (et il faut qu’il ait été utilisé au moins une fois pour que le fichier timestamp existe et que l’exploitation soit possible). Comme l’a indiqué Choub, OSX utilise l’API Authorization Services en remplacement de sudo, graphiquement.


votre avatar







Drepanocytose a écrit :



Je ne comprends pas, là….

Ca ne marche pas comme sous un linux, OSX ?





Non. En gros, compte administrateur = autorisé à faire des sudo, alors qu’un compte “de base” n’est pas dans les sudoers et ne peut pas. Donc sous OS X, administrateur != root. Le compte root n’est d’ailleurs même pas activé par défaut: tu ne peux pas te logger directement dessus, tu n’y a accès que via sudo.


votre avatar







NeVeS a écrit :



Pas quand on est admin.







Oui mais je parle pour l’attaquant..<img data-src=" />


votre avatar







Choub a écrit :



T’emballes pas, relis les quelques messages, tout le monde à compris que c’était pas si critique que ça, sauf toi.





La faille en elle même est très critique puisque le composant l’est. Quand dans un bulletin de sécurité tu peux mettre les termes “élévation de privilèges” et “exécution arbitraire de code sous l’identité root”, ça devrait en général déclencher une réaction un peu volontaire de la part du vendeur.



Bon, maintenant, il y a des milliers d’utilisateurs windows qui vivent avec leurs pcs dans des botnets et qui ne s’en plaignent pas trop, c’est sans doutes qu’effectivement la sécurité n’est pas un truc si important.


votre avatar







Choub a écrit :



Ca a fait la même chose avec java et le plugin pour navigateur, qui n’est pas activé à l’installation mais manuellement par l’utilisateur…







Qui n’est pas activé à l’installation aujourd’hui, sous OSX. Mais avant, il y a eu quelques années de liberté pour les malwares qui avaient le droit de taper dans Java dès que l’utilisateur installait une application Java quelconque.

Le vuln Java ont fait beaucoup de dégats, je ne les mettrais pas du tout dans le même lot que cette vuln sudo/OSX.


votre avatar







eb303 a écrit :



Non. En gros, compte administrateur = autorisé à faire des sudo, alors qu’un compte “de base” n’est pas dans les sudoers et ne peut pas. Donc sous OS X, administrateur != root. Le compte root n’est d’ailleurs même pas activé par défaut: tu ne peux pas te logger directement dessus, tu n’y a accès que via sudo.





C’est aussi sur la cas sur pas mal de distro linux aujourd’hui

Sous Debian par exemple, à l’installation il te demande si tu autorises le compte root ou pas. Si tu ne l’autorises pas, le 1er compte créé passe direct dans les sudoers.


votre avatar







the true mask a écrit :



Oui mais je parle pour l’attaquant..<img data-src=" />







L’attaquant il a les même droits que toi, une fois qu’il a réussis a exécuter son malware chez toi. Si t’es admin, il est admin. Si t’es vuln à la faille, il est root.


votre avatar







Choub a écrit :



Bah en fait ça j’en savais rien, mais je connais personne qui ai besoin d’autant de bureaux ^^



Merci pour l’info ;)





En cherchant une réponse je suis tombé sur un gars qui était limité avec 16 bureaux virtuels <img data-src=" />

Mais bon n’ayant pas 10.7 ou 8 sous al main pour tester, il semble que ça soit 16 <img data-src=" />


votre avatar

16 aussi sous 10.8

votre avatar

Bug ou demande de la NSA dans le cadre de PRISM ?

votre avatar







ff9098 a écrit :



Perso j’utilise souvent 2530 bureaux





La vache !<img data-src=" />



J’ai vraiment du mal à comprendre… tellement habitué à utiliser mes applis en plein écran et user d’Exposé et Masquer que je vois mal la nécessité d’autant de bureaux… tu peux m’expliquer ? (j’ai limite l’impression que je loupe un truc que je capte pas… <img data-src=" /> )


votre avatar







le podoclaste a écrit :



Dans la mesure où c’est Apple qui a la mainmise sur Darwin/XNU, c’est bien à Apple qu’incombe la correction.





Tout ce qu’ils font c’est appliquer des patchs, non ? Pazrce que dans le cas contraire, s’ils redéveloppe tout un Unix, je leur tire mon chapeau…


votre avatar







misterB a écrit :



Sur Lion Et ML c’est direct dans la fenêtre de d’exposé, si tu vas en haut a droit tu as un bureau avec un plus qui apparait <img data-src=" />







C’est quoi la fenêtre d’exposé? <img data-src=" />



Je voudrais qu’au lancement j’ai déjà X bureaux d’actifs sans avoir à les ajouter à chaque démarrage du laptop…



Je suis exigeante, désolée <img data-src=" />


votre avatar







fken a écrit :



Tout ce qu’ils font c’est appliquer des patchs, non ? Pazrce que dans le cas contraire, s’ils redéveloppe tout un Unix, je leur tire mon chapeau…







Les utilisations de Darwin/XNU en dehors de chez Apple sont très marginales, donc j’imagine que les développements aussi. Après, ils ne sont pas parti de zéro non plus : ils ont hérité du projet de NExT, qui sont eux-même parti de Mach et BSD. Mais le fork doit être développé essentiellement en interne (NExT puis Apple) depuis 25 ans.


votre avatar

Ce genre de “bug” me laisse perplexe … En revanche, ce que j’apprécie moins c’est le temps qui s’est écoulé avant qu’ APPLE ne bouge…



<img data-src=" />

votre avatar







Droogs a écrit :



C’est quoi la fenêtre d’exposé? <img data-src=" />



Je voudrais qu’au lancement j’ai déjà X bureaux d’actifs sans avoir à les ajouter à chaque démarrage du laptop…



Je suis exigeante, désolée <img data-src=" />





c’est la fonction d’Apple d’affichage de toutes les fenêtres actives, une fois un bureau créé il restera là tant que tu ne le supprime pas.





Petite vidéo

youtube.com YouTube


votre avatar







misterB a écrit :



c’est la fonction d’Apple d’affichage de toutes les fenêtres actives, une fois un bureau créé il restera là tant que tu ne le supprime pas.





Petite vidéo

youtube.com YouTubeSuper cool!! Merci <img data-src=" />



Et on peut aller jusqu’à paramétrer que telle appli s’ouvre sur tel bureau lorsqu’elle est lancée… ? <img data-src=" />


votre avatar







Droogs a écrit :



Super cool!! Merci <img data-src=" />



Et on peut aller jusqu’à paramétrer que telle appli s’ouvre sur tel bureau lorsqu’elle est lancée… ? <img data-src=" />







Bien sur et également les app que tu veux retrouver sur tous les bureaux.

Pour en savoir plus, la partie assistance du site d’Apple est en général assez bien faite. ;)


votre avatar







Niark a écrit :



Bien sur et également les app que tu veux retrouver sur tous les bureaux.

Pour en savoir plus, la partie assistance du site d’Apple est en général assez bien faite. ;)







Gracias, je vais déjà créer un ou 2 bureaux et trifouiller les paramètres ^^



Est-ce que tu utilises “Parallel desktop”?


votre avatar







Droogs a écrit :



Gracias, je vais déjà créer un ou 2 bureaux et trifouiller les paramètres ^^



Est-ce que tu utilises “Parallel desktop”?





Perso je m’en sers mais sous 10.6. Tu peux assigner un bureau à ta machine Parallels, mais je sais pas si on peut pousser le truc en mode cohérence, càd assigner une appli win à un bureau précis, j’ai jamais essayé.


votre avatar







jb18v a écrit :



Perso je m’en sers mais sous 10.6. Tu peux assigner un bureau à ta machine Parallels, mais je sais pas si on peut pousser le truc en mode cohérence, càd assigner une appli win à un bureau précis, j’ai jamais essayé.







Merci <img data-src=" />


votre avatar

l’exceptionnel sécurité made in apple



lol quoi



On pointe du doigt microsoft mais la pomme a quand meme pas mal de faille non sécurisé

votre avatar







Laskov a écrit :



l’exceptionnel sécurité made in apple



lol quoi



On pointe du doigt microsoft mais la pomme a quand meme pas mal de faille non sécurisé







Faudrait voir, comme pour les navigateurs, en combien de temps les failles critiques sont sécurisées et comparer le tout sur une seule et même base <img data-src=" />


votre avatar







Droogs a écrit :



Faudrait voir, comme pour les navigateurs, en combien de temps les failles critiques sont sécurisées et comparer le tout sur une seule et même base <img data-src=" />









reste que microsoft est quand même plus rapide à boucher les trous de l’emmental on peut pas dire du gruyère vue que le gruyère n’a pas de trou…


votre avatar







DorianMonnier a écrit :



Oui le terminal permet les même choses (Bash est installé de base), et tu peux utiliser MacPorts ou Homebrew (entre autres sûrement) pour avoir des dépôts de logiciel pour installer pas d’outils facilement). Ca reste un système Unix, je suis passé de Linux à OSX, je n’ai pas été perturbé sur ce point.



Oui les bureaux virtuels sont gérés sans soucis (bien que peu utilisé par les utilisateurs novices), leur disposition est linéaire et leur nombre dynamique (et je ne connais pas le nombre max, mais je monte régulièrement à plus de 10 bureaux virtuels)









Si c’est linéaire c’est assez inutile


votre avatar







ff9098 a écrit :



Si c’est linéaire c’est assez inutile









Chacun son utilisation… perso j’utilise que des bureaux de façons linéaires, peu importe mon gestionnaire de bureau, et je vois pas en quoi c’est inutile, peut-être plus difficile d’accès selon les cas (tu as toujours les raccourcis pour accéder au bureau X hein), mais l’utilité est la même.


votre avatar







DorianMonnier a écrit :



Chacun son utilisation… perso j’utilise que des bureaux de façons linéaires, peu importe mon gestionnaire de bureau, et je vois pas en quoi c’est inutile, peut-être plus difficile d’accès selon les cas (tu as toujours les raccourcis pour accéder au bureau X hein), mais l’utilité est la même.







Le but est d’accéder rapidement partout, hors linéairement ca peut demander bcp de temps. Et accéder au bureau X faut savoir à chaque fois sur quel bureau est ton appli (et quand tu ouvre/ferme sans cesse c’est pas possible). Perso j’utilise souvent 2530 bureaux


votre avatar



HD Moore, fondateur du kit Metasploit et directeur de la recherche chez Rapid7, indique ainsi que le bug est « significatif » car il permet à n’importe quel compte compromis d’obtenir des privilèges.





Ben non puisqu’il est dit quelques lignes plus haut que le compte doit lui-même avoir des droits administrateurs. Donc a priori par les comptes utilisateurs, c’est mort.

votre avatar

On parle ici d’un local root, et même d’un admin2root. Malheureusement beaucoup de personnes sous OSX utilisent des sessions admin, alors qu’il est tout a fait possible d’être simple utilisateur, le système est conçu pour demander les privilèges admins quand il en a besoin.



Par contre, je ne dirais pas que l’exploitation de la faille est simplifié par le module Metasploit de 200 lignes de Ruby, alors qu’il suffit de taper ces 3 commandes :



\( sudo -k

\) /usr/sbin/systemsetup -setusingnetworktime Off -settimezone GMT -setdate 01:01:1970 -settime 00:00

$ sudo -s



En étant admin, pour avoir un shell root, sans avoir à entrer le mot de passe de l’utilisateur.



C’est critique dans le sens ou n’importe quel malware (qui rentre par une faille Web dans un navigateur, par exemple) dans une session admin, peut tenter d’utiliser cette méthode pour passer root et s’installer au niveau du système, sans avoir à connaitre le mot de passe de l’administrateur.



Metasploit a juste mis en avant la vulnérabilité, mais l’adviso original parlait déjà de Mac OS X comme étant impacté :http://www.openwall.com/lists/oss-security/2013/02/27/22

votre avatar

Par contre, même un “novice” qui aurait un compte admin et n’a jamais fait de “sudo” (très proprable) ne risque pas grand chose si j’ai bien compris l’article

votre avatar







Droogs a écrit :



Par contre, même un “novice” qui aurait un compte admin et n’a jamais fait de “sudo” (très proprable) ne risque pas grand chose si j’ai bien compris l’article







Sans avoir testé, je pense que n’importe quelle popup graphique qui te demande ton mot de passe admin utilise sudo en arrière plan. Donc si l’admin novice a déjà été modifier quelque chose dans les préférences système, il a du utiliser sudo. Pareil pour l’installation d’un logiciel d’ailleurs non ? Mais c’est à confirmer :)


votre avatar







Droogs a écrit :



Par contre, même un “novice” qui aurait un compte admin et n’a jamais fait de “sudo” (très proprable) ne risque pas grand chose si j’ai bien compris l’article







Ouais ça doit être le cas chez la grande majorité des personnes. A part moi, je ne connais aucun “OSX User” dans mon entourage qui utilise leur terminal (et donc sudo).


votre avatar

10.6.8 <img data-src=" />

votre avatar







NeVeS a écrit :



Sans avoir testé, je pense que n’importe quelle popup graphique qui te demande ton mot de passe admin utilise sudo en arrière plan. Donc si l’admin novice a déjà été modifier quelque chose dans les préférences système, il a du utiliser sudo. Pareil pour l’installation d’un logiciel d’ailleurs non ? Mais c’est à confirmer :)







Hummm, je suis pas spécialiste Apple, mais j’avais compris, en lisant l’article, qu’il fallait que la personne ait ouverte une console et fait un “sudo” mais j’avoue qu’en lisant ton commentaire, je suis pas convaincue de ma compréhension de la chose <img data-src=" />



Merci pour l’éclairage



<img data-src=" />


votre avatar

Si je comprend bien, c’est une faille non corrigée depuis 5 mois ou alors c’est juste valable sur les machines pas à jour? Dans le premier cas, honte sur Apple car laisser une vulnérabilité aussi critique trainer aussi longtemps c’est scandaleux, dans le second cas, honte sur les utilisateurs qui ne mettent pas leurs systèmes à jour.

votre avatar







paradise a écrit :



Je ne vois pas pourquoi dès lors qu’on suit la procédure consistant à entrer à chaque fois le mot de passe après la commande su - pour être root/admin.



D’ailleurs j’utilise toujours la commande su - suivi du mdp, et non pas sudo, quelle que soit la distribution ou le BSD, et je me rends compte que c’est la bonne méthode, que je préconise toujours à qui veut l’entendre. <img data-src=" />







Quand tu es le seul admin d’un système, su est certainement plus simple, mais si tu as besoin d’un peu de granularité sur les opérations root pour déléguer et si tu veux éviter de propager le mot de passe de root chez trop de personnes, sudo est ton ami.



En plus, ça s’intègre facilement dans un ldap, ce qui rend la modélisation des privilèges plus pro en entreprise.





votre avatar

Concernant la news, je serais intéressé de savoir si la faille touche les utilisateurs de FreeBSD d’une part, et en complément pourquoi cette faille ne concernent que Lion et ML et pas l’OS précédent

(qui, les macusers aguerris le savent très bien, représente avec la généralisation du 64bits, OpenCL et GCD le dernier en date vraiment majeur*, les 2 suivants - surtout le suivant - étant presque totalement inutiles en apports techniques en attendant Mavericks 10.9 ;).


*c’est un peu comme Adobe PS, certaines ne servent à rien et peuvent être zappées, ça fait pas longtemps que c’est le cas mais ça l’est depuis Lion 10.7, le Vista d’Apple…



Sinon une remarque qui a déjà due être dite : même pour un power user total de la mort de sa race, il y a peu de cas qui imposent le passage par sudo dans le terminal, puisque l’annuaire du dossier utilitaires permet par ex. de passer root par une GUI user friendly que le maceux risque de préférer, et que les autres actions qui pourraient le requérir sont pour les plus demandées possibles par des softs tiers (toujours avec GUI, toujours préféré par les maceux).



En outre, le système répond à un soft demandant des droits root par une API système déjà présente par défaut, et non sudo

( ex : un soft demandant d’installer un daemon ou de se charger avant certaines routines de démarrage).

On peut donc conclure que globalement, sur la totalité du parc OSX grand public, peu y sont obligés, et donc que si comme la news le dit il faut que sudo ait été utilisé une première fois, rien que ça garantit à beaucoup d’être épargés <img data-src=" />



Alors effectivement, reste que sudo reste parfois plus rapide pour une action similaire. Par exemple pour éditer le fichier hosts, probablement celle que j’ai perso faite le plus souvent.

Ceci n’enlevant pas l’obligation à Apple de se grouiller de corriger, bien évidemment.


votre avatar







ragoutoutou a écrit :



Quand tu es le seul admin d’un système, su est certainement plus simple, mais si tu as besoin d’un peu de granularité sur les opérations root pour déléguer et si tu veux éviter de propager le mot de passe de root chez trop de personnes, sudo est ton ami.



En plus, ça s’intègre facilement dans un ldap, ce qui rend la modélisation des privilèges plus pro en entreprise.





Vrai, mais cette granularité impose une gestion très propre du fichier des droits des sudoers….

On peut pêcher par excès de bonne volonté et déleguer trop de droits du coup, la méthode possède les inconvénients de ses avantages…


votre avatar







paradise a écrit :



Que veux-tu dire par « OK » ? La faille ne touche pas les distros que tu cites ?





Je veux dire: faille corrigée… pas oublier, c’est le même code à la base.







paradise a écrit :



Fedora est dérivée de Red Hat, bizarre, et on peut utiliser sudo sur n’importe quelle distribution.





Fedora n’est pas un simple dérivé, de RedHat, en fait c’est plutôt l’inverse de nos jours: le fedora project sert à valider des concepts et des approches qui reviendront dans le redhat suivant. Avec le cycle de développement et support court, fedora a des facilités pour être à jour là où RHEL nécessitera de faire des backports.







paradise a écrit :



Ensuite, veux-tu dire que la faille a été corrigée par une MàJ rapidement sur les distros que tu cites ?



Oui, les mises à jour ont eu un délai chiffrables en semaines voir en jours.


votre avatar







Drepanocytose a écrit :



Vrai, mais cette granularité impose une gestion très propre du fichier des droits des sudoers….







Absolument, il faut de la rigueur où on se retrouve devant un machin ingérable







Drepanocytose a écrit :



On peut pêcher par excès de bonne volonté et déleguer trop de droits du coup, la méthode possède les inconvénients de ses avantages…







Ah, il faut faire gaffe en ouvrant, et ne pas hésiter à faire des alias pour masquer la complexité chez l’utilisateur. Reste que ça permet d’éviter dans pas mal de cas d’être obligé de donner le mot de passe root à des tiers.


votre avatar







ragoutoutou a écrit :



(…)

Oui, les mises à jour ont eu un délai chiffrables en semaines voir en jours.





Quand tu vois le nombre de MàJ chez Fedora, je ne suis pas étonné (j’ai Fedora et Slackware). <img data-src=" />



Quant à sudo proprement dit, il se configure très étroitement si on le désire comme le rappelle Drepanocytose #59.



BSD avait créé sudo dans cet esprit, Ubuntu l’a vulgarisé à outrance pour attirer le client en faisant fi des principes de base, Apple pareil.


votre avatar







paradise a écrit :



BSD avait créé sudo dans cet esprit, Ubuntu l’a vulgarisé à outrance pour attirer le client en faisant fi des principes de base, Apple pareil.







Ubuntu a eu une approche desktop, c’est tout. Sérieusement, vu les dérives possibles, c’est encore un moindre mal… ça a eu pour intérêt principal de ne pas inciter les utilisateurs lambda activer l’authentication par mot de passe de passe root, ce qui aurait certainement mené à pas mal de catastrophes.


votre avatar







ragoutoutou a écrit :



Ubuntu a eu une approche desktop, c’est tout. Sérieusement, vu les dérives possibles, c’est encore un moindre mal… ça a eu pour intérêt principal de ne pas inciter les utilisateurs lambda activer l’authentication par mot de passe de passe root, ce qui aurait certainement mené à pas mal de catastrophes.





Bah ouais.



Et du coup les gens te font du sudo -s à tire-larigot, et ne se rendent plus compte qu’ils sont “pseudo root” parce que c’est leur login que le shell affiche…


votre avatar







Drepanocytose a écrit :



Bah ouais.



Et du coup les gens te font du sudo -s à tire-larigot, et ne se rendent plus compte qu’ils sont “pseudo root” parce que c’est leur login que le shell affiche…





ça fait ça en ubuntu? Sous RHEL, sudo -s m’affiche bien root dans mon prompt… très mauvais si c’est le cas, très mauvais…


votre avatar







ragoutoutou a écrit :



ça fait ça en ubuntu? Sous RHEL, sudo -s m’affiche bien root dans mon prompt… très mauvais si c’est le cas, très mauvais…





J’ai pas d’Ubuntu, mais je crois oui.

A verifier, si un Ubuntiste pouvait confirmer…..


votre avatar

non non ça affiche bien root et #

votre avatar







dj0- a écrit :



non non ça affiche bien root et #





Au temps pour moi alors… En fait, heureusement <img data-src=" />

N’empêche que ca reste dangereux si tu laisses le terminal ouvert et que tu l’oublies…


votre avatar







Choub a écrit :



Ouai c’est géré en natif, autant que tu veux.







Euh, pitite question, où ça se trouve dans les paramètres? J’ai rien vu <img data-src=" />


votre avatar







Droogs a écrit :



Euh, pitite question, où ça se trouve dans les paramètres? J’ai rien vu <img data-src=" />







Préférences systèmes &gt; Exposé et Spaces (spaces est le nom pour les bureaux virtuels)


votre avatar







Niark a écrit :



Préférences systèmes &gt; Exposé et Spaces (spaces est le nom pour les bureaux virtuels)







Merci beaucoup <img data-src=" />


votre avatar







Droogs a écrit :



Euh, pitite question, où ça se trouve dans les paramètres? J’ai rien vu <img data-src=" />





Sur Lion Et ML c’est direct dans la fenêtre de d’exposé, si tu vas en haut a droit tu as un bureau avec un plus qui apparait <img data-src=" />


votre avatar







DorianMonnier a écrit :



Ouais ça doit être le cas chez la grande majorité des personnes. A part moi, je ne connais aucun “OSX User” dans mon entourage qui utilise leur terminal (et donc sudo).







Je ne connais pas très bien l’environnement mac, mais je suppose qu’avec le terminal tu peux faire autant que sous Linux mis à part ajouter des dépôts et ce genre de choses?



Question HS: Sous Mac, on peut avoir des bureaux virtuels sans avoir à installer un soft tiers?


votre avatar







Droogs a écrit :



Question HS: Sous Mac, on peut avoir des bureaux virtuels sans avoir à installer un soft tiers?







Ouai c’est géré en natif, autant que tu veux.


votre avatar







ragoutoutou a écrit :



Si je comprend bien, c’est une faille non corrigée depuis 5 mois ou alors c’est juste valable sur les machines pas à jour? Dans le premier cas, honte sur Apple car laisser une vulnérabilité aussi critique trainer aussi longtemps c’est scandaleux, dans le second cas, honte sur les utilisateurs qui ne mettent pas leurs systèmes à jour.





Et honte à toi de pas comprendre que l’article explique que cette faille doit toucher environ 1% des mac users… et de comprendre ensuite que ce n’est donc pas une faille aussi critique, et donc pas si prioritaire que ça à corriger.


votre avatar







Droogs a écrit :



Je ne connais pas très bien l’environnement mac, mais je suppose qu’avec le terminal tu peux faire autant que sous Linux mis à part ajouter des dépôts et ce genre de choses?



Question HS: Sous Mac, on peut avoir des bureaux virtuels sans avoir à installer un soft tiers?







Oui le terminal permet les même choses (Bash est installé de base), et tu peux utiliser MacPorts ou Homebrew (entre autres sûrement) pour avoir des dépôts de logiciel pour installer pas d’outils facilement). Ca reste un système Unix, je suis passé de Linux à OSX, je n’ai pas été perturbé sur ce point.



Oui les bureaux virtuels sont gérés sans soucis (bien que peu utilisé par les utilisateurs novices), leur disposition est linéaire et leur nombre dynamique (et je ne connais pas le nombre max, mais je monte régulièrement à plus de 10 bureaux virtuels)


votre avatar

Merci pour vos réponses <img data-src=" />



J’hésite à acheter un macbook d’occasion pour tester un peu tout ça <img data-src=" />

votre avatar







NeVeS a écrit :



Sans avoir testé, je pense que n’importe quelle popup graphique qui te demande ton mot de passe admin utilise sudo en arrière plan. Donc si l’admin novice a déjà été modifier quelque chose dans les préférences système, il a du utiliser sudo. Pareil pour l’installation d’un logiciel d’ailleurs non ? Mais c’est à confirmer :)





Non les popup graphiques sont le fruit de Authorization Services API, pas d’un appel “sudo” d’un shell. Il n’y a pas d’équivalent natif de “gksudo” ou “kdesudo” sur mac


votre avatar







Droogs a écrit :



Je ne connais pas très bien l’environnement mac, mais je suppose qu’avec le terminal tu peux faire autant que sous Linux mis à part ajouter des dépôts et ce genre de choses?



Question HS: Sous Mac, on peut avoir des bureaux virtuels sans avoir à installer un soft tiers?





Oui, et oui. <img data-src=" />



Edit: Sortez le pastis, ça sent la saucisse !


votre avatar







jpaul a écrit :



Oui, et oui. <img data-src=" />



Edit: Sortez le pastis, ça sent la saucisse !







Merci <img data-src=" />


votre avatar







Choub a écrit :



Non les popup graphiques sont le fruit de Authorization Services API, pas d’un appel “sudo” d’un shell. Il n’y a pas d’équivalent natif de “gksudo” ou “kdesudo” sur mac







Ok, merci pour l’information ! <img data-src=" />

En effet ça diminue grandement le nombre de personnes impactées.



Donc désolé Droogs, fallait pas m’écouter <img data-src=" /> (mais heureusement j’avais rien affirmé dans mon précédent message).


votre avatar



La faille elle-même peut à la base être exploitée en réglant la date du Mac au 1er janvier 1970. Si cette date est modifiée après avoir utilisée la commande « sudo », la machine peut être amenée à offrir des privilèges supplémentaires sans même réclamer un mot de passe





Sauf que modifier la date ou l’horloge requiert un mot de passe <img data-src=" />



Les possibilités sont quand même grandement limitées..à moins de le faire volontairement..

votre avatar







the true mask a écrit :



Sauf que modifier la date ou l’horloge requiert un mot de passe <img data-src=" />



Les possibilités sont quand même grandement limitées..à moins de le faire volontairement..







Pas quand on est admin.


votre avatar







Choub a écrit :



Non les popup graphiques sont le fruit de Authorization Services API, pas d’un appel “sudo” d’un shell. Il n’y a pas d’équivalent natif de “gksudo” ou “kdesudo” sur mac





Du coup la faille a peu de chance d’être exploité sur des utilisateurs novices; et les utilisateurs confirmés sont moins enclins à tomber dans le panneau d’un autre vecteur d’attaque comme décrit dans l’article.


votre avatar







the true mask a écrit :



Sauf que modifier la date ou l’horloge requiert un mot de passe <img data-src=" />



Les possibilités sont quand même grandement limitées..à moins de le faire volontairement..





Si tu l’as bloqué oui, sinon tant que ta session est ouverte tu peux <img data-src=" />


votre avatar







Choub a écrit :



Et honte à toi de pas comprendre que l’article explique que cette faille doit toucher environ 1% des mac users… et de comprendre ensuite que ce n’est donc pas une faille aussi critique, et donc pas si prioritaire que ça à corriger.







Bon, je vois bien que tu n’as pas compris de quoi il s’agissait, mais c’est pas une raison pour en passer aux attaques personnelles. Sudo, d’un point de vue unix, est un composant extrêmement critique qui doit avoir un suivi de qualité pour garantir l’intégrité du système.



Pour les entreprises utilisant encore OSX comme serveur et pour les utilisateurs mac avancés, cette vulnérabilité peut être catastrophique.



Si maintenant Apple ne veut pas faire un support correct des composants unix d’OSX, il devrait envisager sérieusement de ne plus les fournir et de ne plus se prévaloir de sa compatibilité unix auprès des professionnels.


votre avatar







Skeeder a écrit :



Du coup la faille a peu de chance d’être exploité sur des utilisateurs novices; et les utilisateurs confirmés sont moins enclins à tomber dans le panneau d’un autre vecteur d’attaque comme décrit dans l’article.





Exact, c’est pourquoi la faille n’est pas comblée, car elle est loin d’être prioritaire et si dangereuse que ça.



Mais depuis quelques années déjà, dès qu’on trouve une faille, même minime, dans un système (win, osx, ios, android, etc..), on en fait un patacaisse, alors qu’en creusant un peu, bah ça touche pas grand monde. Ca a fait la même chose avec java et le plugin pour navigateur, qui n’est pas activé à l’installation mais manuellement par l’utilisateur…



‘fin bref, media, buzz, audience, fric, etc, etc…


votre avatar







ragoutoutou a écrit :



Bon, je vois bien que tu n’as pas compris de quoi il s’agissait, mais c’est pas une raison pour en passer aux attaques personnelles. Sudo, d’un point de vue unix, est un composant extrêmement critique qui doit avoir un suivi de qualité pour garantir l’intégrité du système.



Pour les entreprises utilisant encore OSX comme serveur et pour les utilisateurs mac avancés, cette vulnérabilité peut être catastrophique.



Si maintenant Apple ne veut pas faire un support correct des composants unix d’OSX, il devrait envisager sérieusement de ne plus les fournir et de ne plus se prévaloir de sa compatibilité unix auprès des professionnels.





T’emballes pas, relis les quelques messages, tout le monde à compris que c’était pas si critique que ça, sauf toi.



Bonne journée


votre avatar







eb303 a écrit :



Non. En gros, compte administrateur = autorisé à faire des sudo, alors qu’un compte “de base” n’est pas dans les sudoers et ne peut pas. Donc sous OS X, administrateur != root. Le compte root n’est d’ailleurs même pas activé par défaut: tu ne peux pas te logger directement dessus, tu n’y a accès que via sudo.





Donc ce que vous appelez «compte admin» sous Mac OS X, c’est en fait un compte qui fait partie du group sudo.



Si tu tapes “groups” en ligne de commandes, le groupe “sudo” devrait apparaître si tu es admin.


votre avatar







jb18v a écrit :



En cherchant une réponse je suis tombé sur un gars qui était limité avec 16 bureaux virtuels <img data-src=" />

Mais bon n’ayant pas 10.7 ou 8 sous al main pour tester, il semble que ça soit 16 <img data-src=" />





Je viens de tester sous ML c’est 16 max <img data-src=" />


votre avatar



Si les pirates s’y intéressent moins à cause de « débouchés » bien plus nombreux sous Windows





Un peu dommage cet amalgamme… Sudo est une commande unix. Considérer qu’une faille Unix est moins intéressante qu’une faille windows revient à dire qu’il y a plus de débouché à attaquer des end-users que des systèmes de défense, des périphériques embarqués, des box, des serveurs réseaux, web mails, des SI d’avion de ligne, des terminaux de différentes nature y compris bancaire…



En revanche, je veux bien croire que c’est plus simple de se payer la tête de Mme Michu !

votre avatar







Drepanocytose a écrit :



Je ne comprends pas, là….

Ca ne marche pas comme sous un linux, OSX ?

Ca veut dire quoi des droits administrateurs sous OSX ? Concrètement ca veut dire pouvoir avoir les droits du root ?



Si tu peux déjà avoir les droits du root, concretèment ca veut dire que tu peux déjà faire tout ce que te permets le sudo, non ?

Elle est où la faille dans ce raisonnement ?



PS : par contre si apple conniassait une compromission du sudo depuis 5 mois et n’a rien fait (sous reserve que ca ait les mêmes implications que sous un linux), honnêtement c’est pas très sérieux.





Ca marche comme sous linux, il y a :





  • Le compte utilisateur, qui ne peut utiliser que ce qui est présent et rien faire de dangereux

  • Le compte admin, ce qui se traduit par une entrée dans le fichier des sudoers, qui a en général les même droits que l’utilisateur, mais qui peut demander une élévation temporaire des privilèges via sudo

  • Le super-utilisateur (root) qui peut tout faire




votre avatar







fken a écrit :



Un peu dommage cet amalgamme… Sudo est une commande unix. Considérer qu’une faille Unix est moins intéressante qu’une faille windows revient à dire qu’il y a plus de débouché à attaquer des end-users que des systèmes de défense, des périphériques embarqués, des box, des serveurs réseaux, web mails, des SI d’avion de ligne, des terminaux de différentes nature y compris bancaire…



En revanche, je veux bien croire que c’est plus simple de se payer la tête de Mme Michu !







Je crains que ce soit toi qui fais un amalgame, car je lis :



La plateforme OS X est soumise comme toutes les autres à des problèmes de sécurité. Si les pirates s’y intéressent moins



Il faut donc lire que les pirates s’intéressent moins à OSX (ou alors j’ai raté un truc, possible aussi).


votre avatar







Konrad a écrit :



Donc ce que vous appelez «compte admin» sous Mac OS X, c’est en fait un compte qui fait partie du group sudo.



Si tu tapes “groups” en ligne de commandes, le groupe “sudo” devrait apparaître si tu es admin.





Presque. <img data-src=" /> En fait, c’est le groupe “admin” qui apparaît, avec une entrée:

%admin ALL = (ALL) ALL

dans le fichier /etc/sudoers.

Oui, Mac OS X, c’est un vrai Unix, pour ceux qui en doutaient encore… <img data-src=" />


votre avatar







Winderly a écrit :



Je crains que ce soit toi qui fais un amalgame, car je lis :



Il faut donc lire que les pirates s’intéressent moins à OSX (ou alors j’ai raté un truc, possible aussi).







On parle surtout de sudo. Le bugfix ne se situe pas au niveau de apple mais au niveau des développeurs en charge de ce projet. Ce projet touche une plus large communauté de système d’exploitation que MacOsX. MacOsX, en revanche, n’est en charge, selon moi, que du choix de sa distribution.



Bref dire qu’un bug sur sudo n’intéresse que peu de monde parce que ce n’est pas sous Windows est, selon moi, un peu arbitraire.


votre avatar







jb18v a écrit :



10.6.8 <img data-src=" />





De même :)


votre avatar







Choub a écrit :



Et honte à toi de pas comprendre que l’article explique que cette faille doit toucher environ 1% des mac users… et de comprendre ensuite que ce n’est donc pas une faille aussi critique, et donc pas si prioritaire que ça à corriger.







Heuh, 5 mois, critique ou pas, c’est quand même (très) long. Vu le prix des macs, les clients sont en droit d’attendre de la réactivité de la part de l’entreprise.


votre avatar







Vieux_Coyote a écrit :



Heuh, 5 mois, critique ou pas, c’est quand même (très) long. Vu le prix des macs, les clients sont en droit d’attendre de la réactivité de la part de l’entreprise.





Je suis assez d’accord, même si le prix n’a que peu à voir… Plutôt, la communication d’Apple à base de “l’OS le plus avancé du monde” a à y voir…



Et si dans le 1% de macusers il y a les serveurs sous OSX, ca peut avoir de graves conséquences…


votre avatar







fken a écrit :



On parle surtout de sudo. Le bugfix ne se situe pas au niveau de apple mais au niveau des développeurs en charge de ce projet. Ce projet touche une plus large communauté de système d’exploitation que MacOsX. MacOsX, en revanche, n’est en charge, selon moi, que du choix de sa distribution.



Bref dire qu’un bug sur sudo n’intéresse que peu de monde parce que ce n’est pas sous Windows est, selon moi, un peu arbitraire.







Dans la mesure où c’est Apple qui a la mainmise sur Darwin/XNU, c’est bien à Apple qu’incombe la correction.


votre avatar

On peut corriger la faille en ajoutant “Defaults timestamp_timeout=0” au fichier de config de sudo pour forcer sudo à demander à re-rentrer le mot de passe à chaque fois.



Je me demande d’ailleur si cette faille affecte aussi les utilisateurs de Linux et de BSD.

votre avatar







le podoclaste a écrit :



Dans la mesure où c’est Apple qui a la mainmise sur Darwin/XNU, c’est bien à Apple qu’incombe la correction.







Ce qu’Apple devrait surtout faire, c’est distribuer le correctif, vu que ce dernier est dispo depuis février sur le site du projet sudo: Apple n’a presque rien à faire à part un peu de test et diffuser la mise à jour.



Pour en arriver à autant de retard sur un correctif déjà existant, il faut vraiment qu’Apple n’en ait rien à faire de la sécurité. Je n’ose même pas imaginer la sécurité des composants d’OSX où Apple doit affecter ses propres développeurs pour faire les correctifs.


votre avatar







millman42 a écrit :



On peut corriger la faille en ajoutant “Defaults timestamp_timeout=0” au fichier de config de sudo pour forcer sudo à demander à re-rentrer le mot de passe à chaque fois.



Je me demande d’ailleur si cette faille affecte aussi les utilisateurs de Linux et de BSD.





Je ne vois pas pourquoi dès lors qu’on suit la procédure consistant à entrer à chaque fois le mot de passe après la commande su - pour être root/admin.



D’ailleurs j’utilise toujours la commande su - suivi du mdp, et non pas sudo, quelle que soit la distribution ou le BSD, et je me rends compte que c’est la bonne méthode, que je préconise toujours à qui veut l’entendre. <img data-src=" />


votre avatar







millman42 a écrit :



Je me demande d’ailleur si cette faille affecte aussi les utilisateurs de Linux et de BSD.







Pour Linux: Suse, Fedora, Debian (et dérivés) =&gt; ok, RHEL pas ok, si j’ai bien vu…





votre avatar







ragoutoutou a écrit :



Pour Linux: Suse, Fedora, Debian (et dérivés) =&gt; ok, RHEL pas ok, si j’ai bien vu…





Que veux-tu dire par « OK » ? La faille ne touche pas les distros que tu cites ?



Fedora est dérivée de Red Hat, bizarre, et on peut utiliser sudo sur n’importe quelle distribution.



Ensuite, veux-tu dire que la faille a été corrigée par une MàJ rapidement sur les distros que tu cites ?


OS X : une faille vieille de cinq mois permet de détourner la commande sudo

  • Une faille datant de mars dernier

  • Valable sur Lion et Mountain Lion 

  • Utilisable en conjonction d'autres vecteurs d'attaques 

Fermer