Récemment, Qualys a identifié une vulnérabilité dans la commande Linux sudo, qui permet à un utilisateur local ou à un attaquant d’obtenir des privilèges root non autorisés sur un système. Étant donné que la commande sudo est l’une des commandes les plus anciennes et les plus largement utilisées sur un système Linux, les dangers inhérents augmentent considérablement l’importance de ce problème de sécurité. La majorité du Web fonctionne sous Linux, donc cette vulnérabilité affectera la majeure partie du Web.
Depuis qu’il a pris connaissance de cette vulnérabilité, Liquid Web a travaillé avec diligence pour planifier et mettre en œuvre la meilleure résolution de nos clients. Nos équipes de sécurité et d’ingénierie ont travaillé avec nos fournisseurs et ont déjà commencé à déployer les correctifs requis pour cette vulnérabilité.
Qu’est-ce que Sudo ?
La commande sudo permet à un utilisateur d’assumer le rôle et les droits d’un autre utilisateur et d’exécuter des commandes ou des programmes en tant qu’utilisateur ou superutilisateur (par exemple root) comme indiqué dans la politique de sécurité sudo. Ce point faible permet à un utilisateur d’exécuter des commandes élevées même si l’utilisateur n’est pas répertorié dans le fichier /etc/sudoers. Le fichier sudoers est un fichier de configuration qui contrôle les utilisateurs autorisés à accéder aux commandes su ou sudo. La politique de sécurité sudo détermine le niveau de privilèges dont dispose un utilisateur pour exécuter des commandes à l’aide de sudo. Les versions suivantes de sudo sont concernées : 1.8.2 à 1.8.31p2 et 1.9.0 à 1.9.5p1. La dernière version de sudo (Sudo v1.9.5p2) a corrigé et atténué la faille. Le bogue a été initialement introduit en juillet 2011 (commit 8255ed69) et a existé jusqu’à présent.
D’autres mises à jour de statut sont disponibles sur la page de statut de Liquid Web.
Des mises à jour seront ajoutées à cet article dès qu’elles seront disponibles.
Comme toujours, si vous avez des questions concernant votre compte, n’hésitez pas à contacter notre équipe d’assistance, par chat ou appelez-nous au 1.800.580.4985. Nous sommes heureux de vous aider!