Il y a quelques minutes, Canonical a publié un nouveau rapport de sécurité. La vulnérabilité corrigée cette fois est une autre de celles qui pourraient passer inaperçues et que nous aurions pu manquer, mais il est frappant d'être dans quelque chose que tous les utilisateurs d'Ubuntu connaissent: le comando sudo. Le rapport publié est le USN-4154-1 et, comme vous pouvez vous y attendre, cela affecte toutes les versions d'Ubuntu prises en charge.
Pour en préciser un peu plus, les versions prises en charge auxquelles nous nous référons sont Ubuntu 19.04, Ubuntu 18.04 et Ubuntu 16.04 dans son cycle normal et Ubuntu 14.04 et Ubuntu 12.04 dans sa version ESM (Extended Security Maintenance). Si nous accédons à la page du vulnérabilité corrigée, celui publié par Canonical, on voit qu'il existe déjà des correctifs disponibles pour toutes les versions mentionnées ci-dessus, mais qu'Ubuntu 19.10 Eoan Ermine est toujours affecté comme on peut le lire dans le texte en rouge "nécessaire".
sudo est mis à jour à la version 1.8.27 pour corriger une vulnérabilité
Le bug corrigé est le CVE-2019-14287, qui est décrit comme:
Lorsque sudo est configuré pour permettre à un utilisateur d'exécuter des commandes en tant qu'utilisateur arbitraire via le mot clé ALL dans une spécification Runas, il est possible d'exécuter des commandes en tant que root en spécifiant l'ID utilisateur -1 ou 4294967295.
Canonical a qualifié la décision de priorité moyenne. Pourtant, "sudo" et "root" nous font penser à Lockdown, un module de sécurité qui fera son apparition avec Linux 5.4. Ce module restreindra davantage les permissions, ce qui est plus sécurisé d'une part mais d'autre part il empêchera les propriétaires d'une équipe d'être une sorte de "Dieu" avec elle. Pour cette raison, il y a eu un débat à ce sujet depuis longtemps et le verrouillage sera désactivé par défaut, bien que la raison principale en soit que cela pourrait endommager les systèmes d'exploitation existants.
La mise à jour est déjà disponible dans les différents centres logiciels. Compte tenu de la facilité et de la rapidité de la mise à jour, il n'est en théorie pas nécessaire de redémarrer, de mettre à jour maintenant.