Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local, qui a précédemment utilisé Sudo, peut changer
l’heure du système, afin d’utiliser Sudo sans s’authentifier.

Produits concernés : Debian, Slackware, Unix (plateforme)

Gravité : 2/4

Date création : 27/02/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Lorsqu’un utilisateur s’authentifie avec Sudo, un fichier est créé
dans le répertoire /var/db/sudo/utilisateur. Le programme Sudo
regarde ensuite l’heure du fichier pour vérifier si la dernière
authentification de l’utilisateur est récente (moins de 5
minutes), afin de ne pas lui redemander de s’authentifier.

La commande "sudo -k" permet d’effacer cette mémorisation. Pour
cela, l’heure du fichier est modifiée en 01/01/1970. Ainsi, comme
il y a plus de 5 minutes entre l’heure du fichier et l’heure
courante, l’utilisateur doit s’authentifier de nouveau.

Cependant, sur certains systèmes, utilisateur local est autorisé à
modifier la date du système. Il peut alors remonter au 01/01/1970.
Alors, comme il y a moins de 5 minutes entre l’heure du fichier et
l’heure du système, l’utilisateur peut employer Sudo sans saisir
son mot de passe.

Un attaquant local, qui a précédemment utilisé Sudo, peut donc
changer l’heure du système, afin d’utiliser Sudo sans
s’authentifier.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Sudo-authentification-en-changeant-l-heure-12471