Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : Sudo, vulnérabilité de Runas group

septembre 2010 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/

SYNTHÈSE DE LA VULNÉRABILITÉ

Lorsque sudo appelle certains programmes, un attaquant local peut
utiliser la fonctionnalité "Runas group", afin d’élever ses
privilèges.

 Gravité : 2/4
 Date création : 07/09/2010

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme sudo permet d’exécuter un autre programme avec des
privilèges spécifiques.

Le fichier sudoers indique a sudo qui peut exécuter quelle
commande. Une commande peut être limité à un groupe, un
utilisateur ou une combinaison des deux.

La fonctionnalité "Runas group" de sudo, option -g grp, exécute
une commande en tant que grp. Cependant, dans le cas ou une
commande est limitée à une combinaison utilisateur et groupe, sudo
vérifie le groupe mais pas l’utilisateur.

Lorsque sudo appelle certains programmes, un attaquant local peut
donc utiliser la fonctionnalité "Runas group", afin d’élever ses
privilèges.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Sudo-vulnerabilite-de-Runas-group-9905


Voir les articles précédents

    

Voir les articles suivants