L’utilisation de la commande Less sous Linux pour afficher le contenu des fichiers téléchargés à partir d'Internet s’avère être une opération dangereuse.
En effet, cette commande, qui à première vue semble inoffensive, peut conduire à l'exécution de code à distance, selon un chercheur en sécurité.
Less permet d’afficher le contenu d’un fichier dans une fenêtre et permet aux utilisateurs de le parcourir sans pouvoir le modifier. Son grand avantage est qu’il affiche les données à la volée sans avoir besoin de charger un fichier entier en mémoire. Ceci est utile lorsqu'il s’agit de gros fichiers, mais à quel prix sous Linux ?
Cette commande est généralement utilisée pour afficher les fichiers ‘texte’, mais sur de nombreuses distributions Linux, y compris Ubuntu et CentOS, elle prend en charge beaucoup plus de types de fichiers, y compris les archives, les images et les fichiers PDF. Ceci est dû au fait que, sur ces systèmes, la commande exécute un script appelé lesspipe qui s’appuie sur différents outils tiers pour traiter les fichiers avec diverses extensions.
« Les outils tiers desquels dépend lesspipe et par conséquent less n’ont pas été conçus dans le but d’offrir une porte ouverte aux logiciels malveillants », a déclaré Michal Zalewski, ingénieur en sécurité de Google, dans un message envoyé à une liste de diffusion.
Cependant, ce dernier a découvert une faille après avoir effectué un fuzzing sur l’un de ces outils. Le fuzzing est une technique qui permet de tester des logiciels. L’idée est d’injecter des données aléatoires dans un programme. Si le programme échoue, alors cela indique qu’il y a des défauts à corriger dans le programme. Notons que ce test est aussi effectué pour traquer des failles de sécurité.
L’exécution de ce test sur le fichier d’archivage cpio, l’un des programmes utilisés par lesspipe, a généré un bogue pouvant entraîner l’exécution de code arbitraire. Ce qui laisse paraître que ce fichier pourrait être une porte d’entrée pour les maliciels.
Zalewski pense aussi que cette faille pourrait s’étendre à bien d’autres programmes utilisés par lesspipe.
« Même s’il s’agit d’un seul bogue dans cpio, je ne ai aucun doute que bon nombre des autres programmes lesspipe sont tout aussi problématiques ou pires », a déclaré le chercheur.
Après qu’il ait envoyé ses conclusions sur la liste de diffusion appelée « Open Source Security », d'autres personnes ont commencé à noter des problèmes similaires dans d'autres outils lesspipe et dans less ; et cela provoque déjà la méfiance au niveau des utilisateurs de Linux.
Pour la sécurité des utilisateurs de Linux, l’idéal serait d’effectuer des tests de fuzzing sur tous les programmes utilisés par lesspipe, mais cela ne sera pas aisé vu le nombre de programmes et la vétusté de certains d’entre eux. Zalewski propose donc à ces deniers d’assurer, eux-mêmes, leur sécurité en désactivant les variables d’environnement Lessopen et Lessclose, qui appellent automatiquement lesspipe.
Source: Message diffusé par Michal Zalewski
Et vous?
Que pensez-vous? A quels dangers pourraient être exposés les utilisateurs de Linux?
Une nouvelle faille de sécurité découverte sous Linux
La commande "Less" serait la porte d'entrée de logiciels malveillants
Une nouvelle faille de sécurité découverte sous Linux
La commande "Less" serait la porte d'entrée de logiciels malveillants
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !