Ce jour une faille sévère a été publiée concernant l’outil sudo, elle permet d’obtenir des droits d’autres utilisateurs ou d’administrateur depuis des comptes utilisateurs. Les serveurs infogérés de nos clients ayant déjà fait l’objet d’une mise à jour dans la matinée comme tous les jours de l’année, nous avons enclenché un deuxième cycle de mise à jour ce soir pour corriger cette faille.
Chronologie mise à jour faille openssl
Heure de déclaration de la faille chez Debian 14h57 UTC+2, patch de correction mis à disposition à 16h54 UTC+2, le temps de synchronisation des miroirs et des tests préliminaires de DigDeo, à 21h10 UTC+2 tous les serveurs gérés sont à jour.
L’infogérance DevSecOps passe surtout par ce genre de mises à jour de sécurité silencieuses que nous faisons en plus des mises à jour quotidiennes (365j/an) en toute transparence pour les productions de nos clients. Nous ne faisons pas d’actualité pour chacune d’entre elles, cette actualité est plus un rappel de nos bonnes pratiques.
Plus d’informations sur la faille de sudo :
Un article sur comment tester la faille : https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
Deux liens sur la faille chez Debian :
