L'un des outils les plus importants dans les environnements Linux a un besoin urgent d'une mise à jour: une vulnérabilité sérieuse dans Sudo rend fondamentalement tout le système de privilèges utilisateur obsolète, puisque n'importe qui peut devenir root.
Les différents distributeurs devraient actuellement délivrer un patch pour leurs systèmes Linux, dont l'installation rapide est avant tout recommandée aux utilisateurs qui ne travaillent pas sur un système largement isolé. Particulièrement là où une bonne gestion des utilisateurs est requise, il faut s'assurer de toute urgence que le point faible est éliminé le plus rapidement possible. La vulnérabilité a été découverte il y a deux semaines par deux chercheurs en sécurité de Qualys , qui l'ont saisie dans les bases de données sous l'ID CVE-2021-3156 et lui ont donné le nom de «Baron Samedit». L'équipe de développement de l'outil Sudo a maintenant corrigé la vulnérabilité dans la dernière version 1.9.5p2.

Le bogue a permis à pratiquement tous les utilisateurs d'un système basé sur Linux d'étendre leurs droits limités à l'accès root. Cela a même affecté les utilisateurs qui n'étaient même pas autorisés à utiliser Sudo. Cela peut, par exemple, conduire des personnes non autorisées à accéder à un serveur de fichiers du réseau de l'entreprise, mettant sous leur contrôle un système complet ou même l'ensemble de l'infrastructure informatique. Au cours des deux dernières années, deux autres vulnérabilités ont été découvertes dans l'outil, qui pourraient être utilisées pour étendre les privilèges. Aucun de ceux-ci ne pourrait rivaliser en termes de dangerosité avec le fossé de sécurité qui a maintenant été découvert, a-t-il déclaré. Fondamentalement, toutes les distributions Linux qui font actuellement leur travail sur n'importe quel périphérique sont susceptibles d'être affectées. Le code défectueux a été ajouté au projet en 2011, de sorte que la vulnérabilité peut être trouvée dans toutes les versions Sudo qui ont été mises à disposition pour les systèmes Linux depuis lors.