IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Une faille touchant la commande Sudo touche aussi les Mac, Réactions à la publication du 04/02/2021
Options
Lionel
posté 4 Feb 2021, 13:47
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 507
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Si vous êtes un adepte du Terminal, vous connaissez certainement la commande Sudo permettant d'exécuter des commandes en mode administrateur.
Une faille baptisée sous le nom de CVE-2021-3156 a été découverte dans cette commande sous Linux et BSD.
On apprend maintenant qu'elle touche également macOS, dont les dernières versions Big Sur.

Grâce à elle (ou à cause d'elle) on peut exécuter depuis le Terminal une commande avec une escalade de droits permettant de le faire en super administrateur même avec un compte limité ou invité.
Il faut toutefois avoir un accès physique à la machine, ce qui en limite beaucoup l'impact.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
uhflirug
posté 4 Feb 2021, 13:59
Message #2


Nouveau Membre


Groupe : Membres
Messages : 28
Inscrit : 10 Oct 2016
Membre no 199 964



dent:~ lionel$ env -i ‘AA=a\’ ‘B=b\’ ‘C=c\’ ‘D=d\’ ‘E=e\’ ‘F=f’ sudoedit -s ‘1234567890123456789012\’
env: sudoedit: No such file or directory
Go to the top of the page
 
+Quote Post
iAPX
posté 4 Feb 2021, 20:37
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 876
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Lionel @ 4 Feb 2021, 07:47) *
Si vous êtes un adepte du Terminal, vous connaissez certainement la commande Sudo permettant d'exécuter des commandes en mode administrateur.
Une faille baptisée sous le nom de CVE-2021-3156 a été découverte dans cette commande sous Linux et BSD.
On apprend maintenant qu'elle touche également macOS, dont les dernières versions Big Sur.

Grâce à elle (ou à cause d'elle) on peut exécuter depuis le Terminal une commande avec une escalade de droits permettant de le faire en super administrateur même avec un compte limité ou invité.
Il faut toutefois avoir un accès physique à la machine, ce qui en limite beaucoup l'impact.

Non, pas besoin d'accès physique à la machine, il suffit d'un accès distant au Terminal, soit directement (ssh / Remote Login) soit indirectement via une session distante (Remote Management avec Remote Desktop). D'autres outils de prise de contrôle distant peuvent aussi permettre un tel accès.

C'est une faille extrêmement sérieuse sur beaucoup de Unix-like, qui m'amène énormément de questions, notamment sur le peer-review, l'audit de sécurité, et ultimement sur le niveau de sécurité réel.

Ce message a été modifié par iAPX - 4 Feb 2021, 20:42.


--------------------
A arrêté de vendre son luc sous Windows pour être surpayé. Prend son pied avec macOS. Développe pour Linux. Schizophrène!
Go to the top of the page
 
+Quote Post
chombier
posté 4 Feb 2021, 20:41
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 484
Inscrit : 20 Mar 2003
Membre no 6 765



Citation (iAPX @ 4 Feb 2021, 20:37) *
C'est une faille extrêmement sérieuse sur beaucoup de Unix-like, qui m'amène énormément de questions, notamment sur le peer-review, l'audit de sécurité, et ultimement sur le niveau de sécurité réel.

C'est pas comme si tous les systèmes d'exploitation étaient truffés de failles de sécurité... biggrin.gif


--------------------
késtananafout' (:
Go to the top of the page
 
+Quote Post
iAPX
posté 4 Feb 2021, 20:43
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 876
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (chombier @ 4 Feb 2021, 14:41) *
Citation (iAPX @ 4 Feb 2021, 20:37) *
C'est une faille extrêmement sérieuse sur beaucoup de Unix-like, qui m'amène énormément de questions, notamment sur le peer-review, l'audit de sécurité, et ultimement sur le niveau de sécurité réel.

C'est pas comme si tous les systèmes d'exploitation étaient truffés de failles de sécurité... biggrin.gif

C'est les omelettes que je préfère truffées laugh.gif


--------------------
A arrêté de vendre son luc sous Windows pour être surpayé. Prend son pied avec macOS. Développe pour Linux. Schizophrène!
Go to the top of the page
 
+Quote Post
linus
posté 4 Feb 2021, 21:35
Message #6


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 425
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409



avec les serveurs sécurisés et leur code open source vérolé, on avait touché le fond pensait on.
avec spectre et meltdown, on a creusé plus profond.
avec CVE-2021-3156 on creuse encore
l'avenir est plein de promesses !
Go to the top of the page
 
+Quote Post
Ptitboul
posté 5 Feb 2021, 08:20
Message #7


Adepte de Macbidouille
*

Groupe : Membres
Messages : 178
Inscrit : 23 Jun 2003
Lieu : Paris, France
Membre no 8 215



Citation (uhflirug @ 4 Feb 2021, 14:59) *
dent:~ lionel$ env -i ‘AA=a\’ ‘B=b\’ ‘C=c\’ ‘D=d\’ ‘E=e\’ ‘F=f’ sudoedit -s ‘1234567890123456789012\’
env: sudoedit: No such file or directory


Certes, mais essaie aussi ceci, qui devrait répondre un segmentation fault.
ln -s /usr/bin/sudo /tmp/sudoedit
/tmp/sudoedit -s '\' `perl -e 'print "A" x 65536'`
Go to the top of the page
 
+Quote Post
patrick_a_a
posté 5 Feb 2021, 13:00
Message #8


Nouveau Membre


Groupe : Membres
Messages : 25
Inscrit : 13 Jul 2004
Membre no 20 964



Bonjour,

Avec mon MBP 15 2010, je suis sous Snow leopard (10.6).

Suite aux soucis précédents de bash, je l'ai mis à jour via HomeBrew.

D'où l'état :
Code
bash --version
GNU bash, version 4.4.12(1)-release (x86_64-apple-darwin10.8.0)


et en faisant les manipulations, j'obtiens :
Code
ln -s /usr/bin/sudo /tmp/sudoedit

env -i ‘AA=a\’ ‘B=b\’ ‘C=c\’ ‘D=d\’ ‘E=e\’ ‘F=f’ /tmp/sudoedit -s ‘1234567890123456789012\’

sudoedit: ‘1234567890123456789012’ unchanged



/tmp/sudoedit -s '\' `perl -e 'print "A" x 65536'`
AAAAA..........AAAAA: File name too long
sudoedit: \ unchanged


Si cela peut servir ...


--------------------
Patrick, amateur de Mac depuis 1985. 3,3 planètes, hélas.
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
Go to the top of the page
 
+Quote Post
iAPX
posté 5 Feb 2021, 13:41
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 876
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



+100


--------------------
A arrêté de vendre son luc sous Windows pour être surpayé. Prend son pied avec macOS. Développe pour Linux. Schizophrène!
Go to the top of the page
 
+Quote Post
zero
posté 5 Feb 2021, 14:40
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 121
Inscrit : 25 Nov 2001
Membre no 1 397



Patrick est-ce que tu peux nous rappeler la procédure pour mettre à jour le terminal ?
D'après ce que je me souviens, il faut xcode qui n'est plus dispo pour les anciennes versions de MacOS.

Ce message a été modifié par zero - 5 Feb 2021, 14:53.
Go to the top of the page
 
+Quote Post
maclinuxG4
posté 5 Feb 2021, 15:11
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 3 279
Inscrit : 28 Dec 2001
Lieu : ile de france
Membre no 1 715



le problème pour sudo, c'est que toutes les versions de mac os sont compromises (si accessible physiquement )
cela me rappelle un patch sur la 10.6.8du meme genre sur le login, en local...Ouille on recommence
https://www.macminivault.com/shellshock/

mojave 10.4.6:
GNU bash, version 3.2.57(1)-release (x86_64-apple-darwin18)
Copyright © 2007 Free Software Foundation, Inc.

Ce message a été modifié par maclinuxG4 - 5 Feb 2021, 15:29.


--------------------
hack Z170-UD5 TH + i7 6700k + 16 Go dimm + radeon 580 pulse 8192 mo + SSD 1 T / 2 T + acer XF240H+ macOS Mac OS + Mac OS 10.12.6 /10.14.6 + imprimante HP5520 + (port DP / carte HDMI ) + H75 v2 +r5124
 macpro1,1 Dual core 2,66 GHz, 4 Go FB-dimm+ radeon HD 5770 + ST 500 Go + LCD Samsung 710T + Mac OS 10.6.8 + plantronics DSP 500 + Canon S50 + imprimante HP5520 +  ipad mini
► NO WINDOWS BOOT... Only  linux manjaro
futur hack AMD 5950(?) B550 (rev 2?) + 32 Go dimm + Sapphire Radeon VII Carte Graphique HBM2 HDMI/Triple DP (EUFI) 16 Go+ 2 M2 x 1 xT + SSD 1 T / 2 T + ether 10G+ acer XF240H+ 10.14.6 + H150 (?) + O C 0.6.1+ boitier 900 v2 Be quiet

--------------------
Go to the top of the page
 
+Quote Post
Mac Arthur
posté 5 Feb 2021, 15:20
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 747
Inscrit : 9 Feb 2002
Lieu : Cambodge
Membre no 2 013



Sont touchées sans doute...
Impactées, mis à toutes les sauces depuis quelque temps, suppose un projectile... tongue.gif


--------------------
Hackintosh Gigabyte Z490 VISION D Intel® Core™ i7-10700K 16M Cache, up to 5.10 GHz 8Core 16 threads Gigabyte RX 5700 XT 64Go RAM 3600MHz SSD Samsung 970 EVO NVMe M.2 2TB et 1TB, 4 SATA Boîtier Cooler Master 700P Ecran Samsung 49" C49RG9x 5120*1440 Dell P2419H (Mat...Photo)
Big Sur 11.3, Catalina 10.15.7, OpenCore 0.66
Virtual Machines 10.5 ---> 10.15 and Big Sur 11.3, sur Parallels Desktop et VMWare Retour d'expérience Installations d'OS X depuis Leopard jusqu'à Catalina et... maintenant Big Sur 11.3

Power Mac G4, Power Mac G5, iMac 27 MacBook Air 13" Early 2014, 1.4 GHz Core i5, 4GB 1600 MHz DDR3, HD 256Go Mojave 10.14.6, Mac Mini Intel Core 2 Duo Mid 2010 2Go 1067 MHz DDR3 10.10.5 (Yosemite) Apple MacBook Pro 2007 "Core 2 Duo" 2.2 15" (Lion)
Hackintosh Gigabyte Z370 Aorus Ultra Gaming WIFI, Core i7-8700K, Gigabyte Aorus Radeon RX580, 64Go RAM 3600MHz SSD Samsung 960 EVO NVMe M.2 1TB et 500GB, 4 SATA,
Big Sur V9, Catalina 10.15.7, Mojave 10.14.6, High Sierra 10.13.6, [color="#008080"]Sierra 10.12.6, OpenCore 0.62, Clover r5123
Go to the top of the page
 
+Quote Post
Ptitboul
posté 5 Feb 2021, 18:56
Message #13


Adepte de Macbidouille
*

Groupe : Membres
Messages : 178
Inscrit : 23 Jun 2003
Lieu : Paris, France
Membre no 8 215



Citation (patrick_a_a @ 5 Feb 2021, 14:00) *
Avec mon MBP 15 2010, je suis sous Snow leopard (10.6).


Oui, en effet, ce que j'ai décrit ne marche que sur les macOS récents.

Les versions antédiluviennes de sudo n'ont pas cette faille.
Comme le dit https://www.sudo.ws/alerts/unescape_overflow.html "Sudo versions 1.7.7 through 1.7.10p9, 1.8.2 through 1.8.31p2, and 1.9.0 through 1.9.5p1 are affected."

Par exemple, sous 10.11.6 c'est sudo version 1.7.10p9, donc supposée vulnérable, mais la commande que j'ai écrit ne fait pas de segmentation fault.
Je suppose que pour les versions 1.7 la faille s'exploite différemment.

Et pour Snow Leopard, que tu mentionnes, d'après https://opensource.apple.com/release/mac-os-x-1068.html qui envoie sur https://opensource.apple.com/source/sudo/su...ion.h.auto.html c'est la version 1.7.0 donc non vulnérable.
Go to the top of the page
 
+Quote Post
iAPX
posté 5 Feb 2021, 19:10
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 876
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



En rapport avec ce que @patrick_a_a écrivait, mais aussi mes usages, HomeBrew supporte les Mac Apple Silicon depuis aujourd'hui tongue.gif


--------------------
A arrêté de vendre son luc sous Windows pour être surpayé. Prend son pied avec macOS. Développe pour Linux. Schizophrène!
Go to the top of the page
 
+Quote Post
patrick_a_a
posté 5 Feb 2021, 23:51
Message #15


Nouveau Membre


Groupe : Membres
Messages : 25
Inscrit : 13 Jul 2004
Membre no 20 964



Citation (zero @ 5 Feb 2021, 14:40) *
Patrick est-ce que tu peux nous rappeler la procédure pour mettre à jour le terminal ?
D'après ce que je me souviens, il faut xcode qui n'est plus dispo pour les anciennes versions de MacOS.


Réponse demain samedi.
Je vérifie avant d'envoyer sur de possibles fausses pistes.

Je vais exploser mon compteur de posts !


--------------------
Patrick, amateur de Mac depuis 1985. 3,3 planètes, hélas.
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
Go to the top of the page
 
+Quote Post
baron
posté 6 Feb 2021, 00:42
Message #16


Macbidouilleur d'Or !
*****

Groupe : Modérateurs
Messages : 15 780
Inscrit : 22 Jul 2004
Lieu : Louvain-la-Neuve (Gaule Gelbique)
Membre no 21 291



Citation (Ptitboul @ 5 Feb 2021, 18:56) *
Et pour Snow Leopard, que tu mentionnes, d'après https://opensource.apple.com/release/mac-os-x-1068.html qui envoie sur https://opensource.apple.com/source/sudo/su...ion.h.auto.html c'est la version 1.7.0 donc non vulnérable.

J'ai bien fait d'attendre pour les mises à jour ! biggrin.gif


--------------------
MacBook Pro 15’’ mi-2010 Core i5 2,53 GHz, 4 Go/SSD Samsung 850EVO 500 Go – Mac OSX 10.6.8  Power Macintosh G3 beige de bureau, rev.1 @ 233MHz, 288 Mo/4Go – MacOS 9.1 — + carte PCI IDE/ATA Tempo 66 Acard 6260 avec HD interne Maxtor 80 Go + graveur interne CDRW/DVD LG GCC-4520B + tablette A4 Wacom UD-0608-A + LaCie ElectronBlueIV 19" + HP ScanJet 6100C   Routeur/modem ADSL Trendnet TW100-BRM504 > B-Box 3 + HP LaserJet 4000 N  
La recherche dans MacBidouille vous paraît obscure ? J'ai rédigé une proposition de FAQ. Le moteur logiciel a un peu changé depuis mais ça peut aider quand même.
Les corsaires mettent en berne…
Go to the top of the page
 
+Quote Post
patrick_a_a
posté 6 Feb 2021, 13:47
Message #17


Nouveau Membre


Groupe : Membres
Messages : 25
Inscrit : 13 Jul 2004
Membre no 20 964



Citation (zero @ 5 Feb 2021, 14:40) *
Patrick est-ce que tu peux nous rappeler la procédure pour mettre à jour le terminal ?
D'après ce que je me souviens, il faut xcode qui n'est plus dispo pour les anciennes versions de MacOS.

Je n'ai pas eu de difficultés pour installer XCode après coup, car il est présent sur le DVD d’installation "Mac OS X Install DVD", dans le dossier "Installations facultatives".
Ce dossier contient un mpkg XCode, mais aussi un mpkg "Optionnal Installs", qui permet d'installer Rosetta.
En cas de besoin, vous pourrez trouver une image disque d'installation de 10.6 dans la toile (archive.org), mais elles sont parfois modifiées pour fonctionner avec des Hackintoshs, donc ne pas hésiter à télécharger différentes versions pour les comparer et utiliser uniquement l'installation de XCode dont les dates de création et modification sont bien d'août 2009 !

Après cette installation simple, le souci se corse pour Homebrew.

La force et faiblesse de Homebrew est qu'il part des sources pour générer des binaires spécifiques à chaque version de Mac OS, ainsi que des bibliothèques dynamiques, donc avec des répertoires prédéfinis. C'est une réplication des installations de base, dans des dossiers prioritaires dans le PATH (/usr/local/bin, …) de l'utilisateur, mais sans écraser les binaires installés par le système (/usr/bin, …) qui sont utilisés par le système.

Quand je l'ai installé en juin 2017, il était "compatible" avec 10.6 (Snow Leopard).
Compatible dans le sens où il cible les versions Mac OS 10.10 à 10.12 (yosemite, el capitan et sierra), mais les formules d'installation contenaient toujours des conditions pour assurer la compatibilité avec 10.6 et ciblaient des versions des sources des outils en grande partie compatibles avec 10.6.
Dans cette configuration, je peux toujours installer des outils, même dans des versions récentes :
- curl 7.74.0 (x86_64-apple-darwin10.8.0) avec Release-Date: 2020-12-09
- OpenSSL/1.0.2u avec date: 20 Dec 2019
- find (GNU findutils) 4.7.0 avec date: 2019-09-29


Depuis, bien évidemment, Homebrew est configuré pour 10.14 (Mojave), avec une compatibilité non assurée à partir de 10.9.

La documentation d'installation est dans https://docs.brew.sh/Installation.

Pour les versions antérieures, Homebrew fait référence à TigerBrew (https://github.com/mistydemeo/tigerbrew), qui contient bien quelques conditions spécifiques à 10.6.
Sinon, une discussion intéressante, mais bien plus complexe, dans le fil :
https://apple.stackexchange.com/questions/2...on-snow-leopard

Vous comprendrez bien que je n'ai pas fait l'installation de ces nouvelles solutions, ne pas réparer quelque chose qui fonctionne correctement (avec les derniers patches de sécurité).

Lors de la création / installation d'outils binaires en ligne de commande, curl et git sont souvent employés.
J'utilise curl par ailleurs. C'est le premier à devoir être installé par brew, car la version du système a des certificats obsolètes.
Cette installation installe aussi OpenSSL, corrigeant des failles et recréant un environnement de certificats utilisables en 10.6.

En espérant ne pas avoir fait fuir trop de demandeurs de ces informations !


--------------------
Patrick, amateur de Mac depuis 1985. 3,3 planètes, hélas.
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
Go to the top of the page
 
+Quote Post
Patrice Broussea...
posté 9 Feb 2021, 00:42
Message #18


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 729
Inscrit : 18 Jan 2015
Lieu : Montréal, Québec
Membre no 193 846



Il semble y avoir des packages binaires mis à jour ici: https://www.sudo.ws/download.html#binary


--------------------
Nouveau Hackintosh dédié MAO • Gigabyte Designare i7 9700K 3,6Ghz - RX560 - 32 Go DDR4 - OS X 10.14.6/Win 10 - Clover 5099
Hackintosh • Gigabyte GA-Z97X-UD3H Core i7 4790 3,6Ghz - RX 580 - 16 Go DDR3 - OS X 10.14.6 (2 partitions)/Win 10 - Clover 5099
Hackintosh dédié MAO • Dell Optiplex 9020 mini-tour i7 4770 3,4GHz - GT 710 - 16 Go DDR3 - OS X 10.14.6/Win 10 - Clover 5099
Go to the top of the page
 
+Quote Post
zero
posté 9 Feb 2021, 06:21
Message #19


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 12 121
Inscrit : 25 Nov 2001
Membre no 1 397



Ce qui est malheureux avec les Mac c'est que lorsque Apple abandonne les anciens Mac de quelques années, la plupart de la communauté suit le mouvement assez rapidement. Et c'est compréhensible car Apple fait tout pour que ce soit pénible de ne pas suivre la cadence.

Ce message a été modifié par zero - 9 Feb 2021, 06:22.
Go to the top of the page
 
+Quote Post
downanotch
posté 9 Feb 2021, 21:40
Message #20


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 678
Inscrit : 11 Apr 2012
Membre no 175 864



Correctif disponible : https://support.apple.com/en-us/HT212177
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 6th March 2021 - 03:25