jeudi 29 août 2013

On a coutume de dire que les systèmes basés sur Unix sont les plus sûrs du monde. Mais des failles existent, parfois assez triviales. L'une d'elles se cache dans un composant bien connu de tous ceux qui ont un jour tapé une ligne de commande : sudo. Cette commande donne accès au superutilisateur (root) et accorde donc tous les droits sur la machine. Elle nécessite un mot de passe, mais il est assez simple sur Mac OS X de récupérer ses droits sans s'authentifier.
La ruse consiste à modifier la date du système, ce que, par défaut, Mac OS X ne sécurise pas (mais l'option est disponible). Revenir au 01 janvier 1970 à 01:00:00 permet tromper sudo et de s'authentifier sans connaître le mot de passe. Il faut toutefois une conjonction de plusieurs conditions favorables :
  • il faut un accès physique au Mac ou un accès distant au terminal
  • la manipulation doit être effectuée à partir d'un compte administrateur
  • ce compte doit s'être déjà authentifié correctement sous sudo
Cette dernière condition est la source du bug. Lorsqu’un utilisateur rentre le mot de passe root, sudo note la date de l'authentification dans un fichier sur le disque. L'utilisateur garde ainsi les droits pendant 5 minutes. Or une commande de sudo (sudo -k) permet de régler la date de la dernière authentification au premier janvier 1970 à 1 h du matin même si l'utilisateur n'est plus authentifié. Régler ensuite l'horloge système à cette même date permet donc de récupérer les droits root.

La faille touche les versions de sudo depuis la 1.6.0 (sortie en janvier 2001) jusqu'à la 1.7.10p6 et depuis la sudo 1.8.0 through 1.8.6p6 et donc presque toutes les versions de Mac OS X sont concernées (de 10.0.0 à 10.8.4). Mac OS 10.9 DP6, la dernière version de développement de Mavericks, n'est pas touchée, car elle intègre une version corrigée de sudo (1.7.10p7). Les distributions Linux sont moins concernées puisqu'elles requièrent généralement un mot de passe pour modifier l'heure du système.

Leave a Reply

Subscribe to Posts | Subscribe to Comments

2

Make moey now

Make moey now

Gadget

Ce contenu n'est pas encore disponible en cas de connexion chiffrée.
bienvenue chez nous ... chez le monde de l'informatique et si tu aime ! clique sur partager...

save as PDF .

Informatique Astuces et Info

Popular Post

Blogger templates

Blog Archive

Pages vues le mois dernier

Fourni par Blogger.

Make money now

Make money now
ShareCash

Pages - Menu

Blog Archive

About

Informatique Astuces et Info

- Copyright © Informatique Astuces et Info -Metrominimalist- Powered by Blogger - Designed by Johanes Djogan -