Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Sudo, vulnérabilité de Runas group

septembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque sudo appelle certains programmes, un attaquant local peut utiliser la fonctionnalité "Runas group", afin d’élever ses privilèges.

- Gravité : 2/4
- Date création : 07/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme sudo permet d’exécuter un autre programme avec des privilèges spécifiques.

Le fichier sudoers indique a sudo qui peut exécuter quelle commande. Une commande peut être limité à un groupe, un utilisateur ou une combinaison des deux.

La fonctionnalité "Runas group" de sudo, option -g grp, exécute une commande en tant que grp. Cependant, dans le cas ou une commande est limitée à une combinaison utilisateur et groupe, sudo vérifie le groupe mais pas l’utilisateur.

Lorsque sudo appelle certains programmes, un attaquant local peut donc utiliser la fonctionnalité "Runas group", afin d’élever ses privilèges.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/S...




Voir les articles précédents

    

Voir les articles suivants