Identifiée CVE-2021-3156, il s’agit d’une vieille faille découverte il y a deux semaines seulement par la société d’audit de sécurité Qualys. L’information est remontée immédiatement aux développeurs, qui ont rapidement colmaté la brèche avec la version 1.9.5p2.
Comme toute faille un tant soit peu importante aujourd’hui, elle a un petit nom : Baron Samedit, en référence à l’entité psychopompe du vaudou. Et la vulnérabilité est dangereuse : elle permet à un pirate de gagner des droits root s’il réussit à accéder à un compte aux privilèges faibles, même s’il n’est pas listé dans /etc/sudoers, qui contient les utilisateurs autorisés à se servir des commandes su ou sudo.
Ce qui rend la faille si importante, c’est sa facilité d’exploitation et sa longévité. Ce qui est au départ un bug a été introduit dans le code sudo en juillet 2011, soit il y aura bientôt dix ans. En informatique, une vraie éternité.
Qualys ne sait pas si la vulnérabilité a été exploitée durant cette période. La société a pu développer avec succès du code d’exploitation pour Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) et Fedora 33 (Sudo 1.9.2), et il n’y aucune raison pour que les autres systèmes embarquant sudo soient épargnés.
Selon Qualys, Baron Samedit peut être transformé en arme et participer à une attaque en deux temps. L’exploitation peut ainsi être automatisée après l’obtention d’un premier compte en cassant sa protection par force brute. Avec les droits root, tout est ensuite possible.
Il est chaudement recommandé aux utilisateurs de mettre à jour leur système le plus rapidement possible. Il est en fait possible que votre distribution soit déjà à jour si vous l’avez redémarrée au moins une fois au cours des derniers jours, mais au vu du danger, une petite vérification s’impose.
Pour être exact, il y a eu deux failles supplémentaires découvertes dans sudo récemment, CVE-2019-14287 et CVE-2019-18634. Mais elles sont beaucoup plus complexes à exploiter, car elles réclament des configurations très spécifiques et non standard de sudo.
Commentaires (28)
#1
A noter que Ubuntu a patché les versions en cours de sudo et n’a pas utilisé la dernière version (par exemple c’est la version 1.8.31-1ubuntu1.2 pour ubuntu 20.04)
https://ubuntu.com/security/CVE-2021-3156
On peux savoir si l’exploit est utilisable sur sa machine en tapant:
Si ca réponds Usage:… c’est que c’est patché
#1.1
Merci de ton indication pour test.
Sur ma machine (de taff
) le retour est “Erreur de segmentation (core dumped)”
Ça correspond à un exploit avec succès ?
#1.2
J’ai le regret de te dire que oui
#1.9
Fais chier je vais finalement devoir mettre à jour ma machine, j’ose espérer que le correctif est dispo même sur une base Ubuntu 16.04 (don’t judge, not my choice
)
#1.10
La 16.04 est LTS donc 5 ans de support (fin avril 2021) sauf si ta boite paye pour le support ESM, dans ce cas : avril 2024
#1.11
Normalement c’est corrigé dans la 16.04 (et meme dans la 14.04)
Ubuntu 16.04 LTS (Xenial Xerus) Released (1.8.16-0ubuntu1.10)
#1.3
#1.4
J”ai ça :
Ou ça me demande des droits root avec un -S.
#1.5
Comme dit par @Jos, c’est que tu n’es pas vulnérable.
#1.6
J’avais mal lu
Merci
#1.7
Oui si ca réponds “usage” c’est patché
#1.8
La commande ne fonctionne pas sur macOS.
J’ai cette version de sudo :
Du coup je ne sais pas si mon sudo est compromis…
Sur mon NAS (DS920+), c’est cette version :
#2
#3
J’ai refait hier le niveau Egyptian dans GoldenEye, je comprends pourquoi l’objectif defeat baron samedi ? est une question.
Vous l’aurez peut-être ce coup-ci, mais il reviendra en faisant un Mwahahahahaha !
#3.1
Ce jeu, magnifique ! Je flippais de me fighter avec lui parce qu’il réapparaissait. De souvenir on avait le golden gun dans ce monde.
#4
Version corrigée disponible depuis avant-hier sur Arch Linux, donc c’est bon pour moi.
#5
la commande semble ne pas fonctionner sur UnRaid
#6
“Baron samedi… sa femme est Maman Brigitte”
Encore un mauvais coup de Macron ça
#7
Faut déjà un accès shell à la machine (ou une faille qui fait comme si).
Mais sur des machines multi-utilisateurs, c’est touchy.
#8
Merci pour l’information.
#9
@Jos @Gorom merci pour les confirmations
#10
Euh… Komment kon devient sudo/root je pige pas le truc.
Une bonne ame pour donner le tuto ?
Faut que j’essaie ca sur mes machines debian de TP, je sooferai le compte d’un étudiant ! ;)
#11
sudoedit -s ‘\’
perl -e 'print "A" x 65536'malloc(): corrupted top size
Abandon
Bon, en noob j’ai tenté un ‘sudo su -’ direct mais je me suis fait virer.
Fais suer je vais quand même pas utiliser le vrai root ? (ou mon compte sudo bourdel)
#11.1
On ne fait pas de « sudo su », mais un « sudo -i » ou un « su - ».
#12
Ok éventuellement pour le ‘sudo -i’,
mais ‘su -’ c’est pas pareil ! Faut connaitre le root !
#12.1
euh, j’ai pas bien pigé ta question
le souci, c’est que la faille permet de passer root (ou de faire un sudo) alors que l’utilisateur exécutant la commande n’a pas les droits
si ton “sudoedit -s ….” à crashé sur un malloc, c’est qu’il n’a pas été bloqué par la correction, donc le poste en question est vulnérable, un compte qui n’est pas dans les sudoers pourrait quand même exécuter des commander sensibles …
edit :
la commande n’est pas à exécuter en tant que root, ça n’aurait aucun intérêt, donc je pige pas pourquoi tu veux faire du “sudo su” ou autres joyeusetés
#12.2
Il essaye d’exploiter la faille.
).
Mais c’est pas juste en faisant un sudo (ou su) que ça fonctionne (je pense qu’on l’aurait vu avant sinon, quand même
Le type de commande à passer est de ce genre : env -i ‘AA=a\’ ‘B=b\’ ‘C=c\’ ’D=d\’ ‘E=e\’ ‘F=f’ sudoedit -s ‘1234567890123456789012\’
#12.3
ah ok
comme il utilisait la commande “de test” j’y avais pas pensé