systemd est un système d’initialisation et un daemon qui a été spécifiquement conçu pour le noyau Linux comme une alternative au daemon init de System V (sysvinit). Il a pour but d'offrir un meilleur cadre pour la gestion des dépendances entre services, de permettre le chargement en parallèle des services au démarrage, et de réduire les appels aux scripts Shell.
Après avoir dépassé le million de lignes en 2017, le référentiel Git de systemd indique qu’il atteint désormais les 1 207 302 lignes. Ces 1,2 million de lignes sont réparties sur 3 260 fichiers et sont constituées de 40 057 commits de près de 1 400 auteurs différents.
systemd a enregistré un nombre record de commits l'année dernière, mais jusqu'à présent, il est difficile d’imaginer que ce record puisse être battu en 2019. Cette année, il y a déjà eu 2 145 commits. L’année dernière les statistiques affichaient 6 245, tandis qu'en 2016 et 2017, systemd a totalisé à chaque fois moins de quatre mille commits.
Lennart Poettering continue d'être le contributeur le plus prolifique de systemd avec plus de 32% des commits jusqu'à présent cette année. Les auteurs les plus prolifiques de cette année sont Yu Watanabe, Zbigniew Jędrzejewski-Szmek, Frantisek Sumsal, Susant Sahani et Evgeny Vereshchagin. Environ 142 personnes ont contribué à l’arbre source de Systemd depuis le début de l’année.
un système init controversé, mais populaire
Si aujourd'hui systemd est adopté par la plupart des distributions GNU/Linux, il a toutefois été vivement critiqué par certains membres de la communauté open source, qui estiment que le projet va à l’encontre de la philosophie Unix et que ses développeurs ont un comportement anti-Unix, du fait que systemd est incompatible avec tous les systèmes non Linux.
Rappelons d'ailleurs que systemd a été à l'origine de la division de la communauté Debian lorsque celle-ci a décidé de l'adopter comme système d’initialisation par défaut, malgré les menaces de certains contributeurs. Ces derniers ont donc quitté le projet Debian pour créer un fork baptisé Devuan (un Debian qui n'utilise pas systemd).
Mi-janvier, nous vous rapportions que les principales distributions Linux étaient vulnérables à trois bogues de systemd. Les bogues existaient dans le service 'journald', chargé de collecter et de stocker les données de journalisation. Ils pouvaient être exploités pour obtenir les privilèges root sur la machine cible ou pour divulguer des informations.
Découvertes par les chercheurs de la firme de sécurité Qualys, les failles étaient deux vulnérabilités de corruption de la mémoire (débordement de tampon dans la pile - CVE-2018-16864 et allocation de mémoire sans limite - CVE-2018-16865) et une permettant la fuite d’information (lecture hors limites, CVE-2018-16866).
Les chercheurs ont développé un exploit pour CVE-2018-16865 et CVE-2018-16866 qui permet d'obtenir un shell racine local sur les machines x86 et x64. L'exploit a fonctionné plus rapidement sur la plateforme x86 et a atteint son objectif en dix minutes. Sur x64, l’exploit a pris 70 minutes. Qualys avait annoncé qu’il prévoyait de publier le code d’exploit PoC pour démontrer l’existence des failles et avait expliqué en détail comment il a pu tirer parti de ces failles. Les chercheurs ont également développé une preuve de concept pour CVE-2018-16864 qui permet de prendre le contrôle de eip, le pointeur d'instruction de i386.
La vulnérabilité de dépassement de tampon dans la pile (CVE-2018-16864) a été introduite en avril 2013 (systemd v203) et est devenue exploitable en février 2016 (systemd v230). Quant à la vulnérabilité d'allocation de mémoire sans limites (CVE-2018-16865), elle a été introduite en décembre 2011 (systemd v38) et est devenue exploitable en avril 2013 (systemd v201), tandis que la vulnérabilité de fuite de mémoire (CVE-2018-16866) a été introduite en juin 2015 (systemd v221) et corrigée par inadvertance en août 2018.
Source : GitStats
Voir aussi :
Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n'est disponible pour le moment
La version stable de Devuan ASCII 2.0 est disponible, la deuxième version du fork de Debian continue de promouvoir des alternatives à systemd
De nombreuses distributions Linux affectées par une vulnérabilité dans le système init systemd, permettant l'exécution de code à distance
Sortie de Cutelyst 1.7, le framework Web basé sur Qt gère maintenant les sockets Web et le réveil par systemd
systemd a désormais plus de 1,2 million de lignes de code qui sont réparties sur 3260 fichiers,
Et proviennent de près de 1400 auteurs différents
systemd a désormais plus de 1,2 million de lignes de code qui sont réparties sur 3260 fichiers,
Et proviennent de près de 1400 auteurs différents
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !