Le projet sudo-rs 0.2.10, un projet de développement pour les versions Rust des utilitaires sudo et su, a été publié. Cette nouvelle version corrige notamment deux vulnérabilités qui affectaient Ubuntu 25.10, lequel utilise sudo-rs au lieu de sudo. Il est à noter que le code source de sudo-rs a déjà passé avec succès deux audits de sécurité indépendants : l’un en août 2023 (NLnet) et l’autre en août 2025 (NGICore).
Vulnérabilités identifiées :
- CVE-2025-64517 — Un utilisateur privilégié disposant des privilèges sudo pour exécuter des commandes en tant qu'autres utilisateurs ou en tant que root peut exécuter des commandes sudo en tant qu'utilisateur dont il ignore le mot de passe, même si des paramètres supplémentaires exigeant le mot de passe de l'utilisateur cible sont activés. Cette attaque est possible si l'utilisateur privilégié connaît le mot de passe d'au moins un utilisateur pour lequel il est autorisé à exécuter des commandes dans les paramètres sudo.
Cette vulnérabilité n'est pertinente que lorsque les options `rootpw` et `targetpw` sont activées dans le fichier `/etc/sudoers`. Ces options sont désactivées par défaut et prises en charge depuis sudo-rs 0.2.5, publié en avril. Modifier ces paramètres vise à changer le comportement de l'utilitaire `sudo`, qui, avec ces paramètres, devrait exiger le mot de passe de l'utilisateur cible et non celui de l'utilisateur actuel. La vulnérabilité réside dans le fait que ce comportement n'est pas modifié : un utilisateur privilégié peut toujours utiliser son mot de passe pour exécuter des commandes en tant que root, même si, avec les options `targetpw` et `rootpw` activées, il doit saisir le mot de passe root. `/etc/sudoers: Defaults targetpw user ALL=(ALL:ALL) ALL $ sudo -g root whoami [sudo: authenticate] Password:` utilisateur $ sudo -u root whoami root
Ce problème est dû au fait qu'après une authentification via sudo, l'UID, l'ID de session et l'heure de début de session de l'utilisateur ne sont pas correctement enregistrés dans les fichiers d'horodatage utilisés pour la mise en cache des informations d'identification. La mise en cache permet de répéter les opérations sans mot de passe pendant 15 minutes après une authentification réussie. Lorsque l'option targetpw ou rootpw est activée, c'est l'UID de l'utilisateur exécutant sudo qui est inscrit dans le fichier d'horodatage, au lieu de l'UID de l'utilisateur authentifié. Cette vulnérabilité est considérée comme modérément grave (4.4 sur 10).
- CVE-2025-64170 est une faille qui provoque l'affichage, dans la console, d'un mot de passe incomplet saisi dans l'entrée standard si la saisie n'est pas terminée par la touche Entrée avant l'expiration du délai (5 minutes par défaut). Cette vulnérabilité n'est présente que dans les configurations où l'option `pwfeedback` n'est pas activée (elle ne l'est pas par défaut). La prise en charge du délai d'expiration du mot de passe a été ajoutée dans la version 0.2.7 de sudo-rs, sortie en juillet. Ce problème est considéré comme peu critique (3.8 sur 10). `$ sudo -s [sudo:authenticate] Password: sudo-rs: timed out $ testpassword`
Source: opennet.ru
