Le noyau Linux patché contre l'une de ses plus grandes vulnérabilités
Datant de 2009 et permettant une élévation de privilèges

Le , par Arsene Newman, Expert éminent sénior
Linux peut souffler de nouveau, car les responsables de la maintenance du noyau Linux viennent d’annoncer un corectif d’une faille majeure connue sous la référence CVE-2014-0196, qui touche les systèmes Linux dont le noyau est compris entre la version 2.6.31 et 3.14.3.

La faille qui a été introduite dans la version 2.6.31-rc3 datant de 2009 et qui réside dans la fonction n_tty_write contrôlant les consoles tty, permet à un utilisateur malveillant de gagner en privilège, d’exécuter un code malicieux ou encore de faire crasher un programme sur des systèmes vulnérables, particulièrement ceux utilisés dans le cadre des services d’hébergement web.

« C’est la première vulnérabilité grave de type escalade de privilège depuis la découverte de la faille perf_events (CVE-2013-2094) en avril 2013. Elle est potentiellement exploitable de manière fiable sans dépendre d’une certaine architecture ou configuration et affecte une large gamme de noyaux Linux », a expliqué Dan Rosenberg, expert en sécurité pour le compte d’Azimuth Security, avant de rajouter qu(« un bug d’une telle sévérité apparait seulement une fois toutes les quelques années ».

Outre ces précisions, les experts en sécurité mettent en évidence la facilité avec laquelle un utilisateur peut exploiter cette faille. L’utilisateur doit avoir un compte sur le système ciblé, d’où le risque important pour les services d’hébergement web.

De plus, l’utilisateur peut combiner cette attaque à d’autres attaques qui exploitent des failles spécifiques au système, d’où l’urgence de mettre à jour tout système vulnérable.

Pour l’heure, les systèmes vulnérables à cette faille ne sont pas clairement identifiés, c’est le cas par exemple des systèmes Android et Chrome OS qui sont potentiellement affectés. Toutefois, les équipes des principales distributions Linux n’ont pas tardé à réagir. Ainsi, on apprend que Red Hat Entreprise Linux 5 est hors d’atteinte alors que des mises à jour sont prévues pour la version 6 et MRG2. Du côté d’Ubuntu, la version 14.04 LTS est affectée et s’est vue fixée à travers plusieurs mises à jour. Enfin, Debian a publié un communiqué traitant de cette annonce.

Source : Annonce de maintenance

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Niark13 Niark13 - Membre éclairé https://www.developpez.com
le 19/05/2014 à 11:18
Il me tarde de lire la réaction de fleur en plastique...
Avatar de Angelsafrania Angelsafrania - Membre averti https://www.developpez.com
le 19/05/2014 à 11:30
Donc une faille mise en "production" en 2009, qui doit donc être potentiellement déjà exploité, a été "découverte" (rapporté officiellement) en décembre 2013 et corrigé en mai 2014. Ça va donné de l'eau au moulin pour les anti-libres... Autant pour moi, le Disclaimer est pourtant bien explicite.
Le problème comme souvent c'est que l'exploitation et la correction de l'erreur est divulgué avec une grande audience, donc le temps que les mises à jour se fassent il y a beaucoup de systèmes qui peuvent être corrompu.
Avatar de laerne laerne - Membre éclairé https://www.developpez.com
le 19/05/2014 à 11:47
Citation Envoyé par Arsene Newman  Voir le message
Qu’en pensez-vous ?

J'ai tout de suit pensé « su -c 'yum update' »…
Avatar de HardBlues HardBlues - Membre actif https://www.developpez.com
le 19/05/2014 à 11:55
J'ai bien peur qu'on est perdu Fleur en plastique
Je la regrette presque parfois, un peu comme ces beaufs avec qui on s’engueule constamment mais qui font parti de la famille...
Avatar de Pilru Pilru - Membre éclairé https://www.developpez.com
le 19/05/2014 à 12:29
Donc une faille mise en "production" en 2009, qui doit donc être potentiellement déjà exploité, a été "découverte" (rapporté officiellement) en décembre 2013 et corrigé en mai 2014.

La faille a été publiquement annoncée le 5 mai 2014. Le patch sur la branche principale du kernel date du 3 mai 2014.
La date 20131203 (mars 2013, date au format US) du CVE ne correspond pas à la date de découverte de la faille (lire le disclaimer).
Avatar de acx01b acx01b - Membre averti https://www.developpez.com
le 20/05/2014 à 13:30
je n'ai pas très bien pigé le bug/exploit.
c'est en appelant une fonction pour manipuler /dev/tty (fonction http://manpagesfr.free.fr/man/man3/openpty.3.html) qui est côté kernel qu'on peut lui fournir un buffer overflow (contenant des opcodes) qui permettra avec un peu de chance d'ouvrir une console dans le contexte de cette fonction, et donc avec les privilèges root ?

http://bugfuzz.com/stuff/cve-2014-0196-md.c
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 06/06/2014 à 6:33
depuis kernel 2.6.32

Le patch est publié pour les distributions Wheezy chez Debian.
Par contre, la thread kernel reste muette à ce sujet dans l'immédiat.
Maintenant qu'un audit des sécurités des projets open source s'intensifie, attendons nous à une recrudescence de patch dans les mois à venir.
Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil