Linux secoué par une faille de sécurité critique dans glibc
Ghost permet de prendre le contrôle d'un système affecté

Le , par Hinault Romaric, Responsable .NET
L’écosystème de l’open source est à nouveau secoué par une faille de sécurité critique dans un produit populaire, après les vulnérabilités Heartbleed et Shellshock.

Une nouvelle faille de sécurité aux conséquences désastreuses a été découverte par les chercheurs en sécurité de Qualys dans glibc, la bibliothèque C de base de toutes les distributions Linux.

Baptisée Ghost, la faille permet à un pirate distant de prendre le contrôle complet d’un système affecté, sans avoir la moindre connaissance préalable concernant les références du système. La faille se situe au niveau des fonctions gesthostbyname et gethostbyaddr, qui sont appelées par les distributions Linux lorsqu’elles doivent gérer des connexions réseau. Un pirate peut déclencher un dépassement de mémoire tampon (buffer overflow) dans ces fonctions, en utilisant, par exemple, un argument de nom d’hôte non valide lorsqu’une application effectue une résolution de DNS.

« Il suffit, par exemple, qu’un pirate envoie un mail sur un système Linux pour obtenir automatiquement un accès complet à cette machine », explique Wolfgang Kandek, directeur technique de Qualys. La firme a d’ailleurs mis au point une preuve de faisabilité (PoC) qui permet d’accéder au Shell d’un serveur par le biais d’un mail. Selon Qualys, cette attaque permet de contourner toutes les mesures de sécurité existantes sur le système affecté, dont ASLR , PIE et NX.

La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.

Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.

« Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. », met en garde Qualys, qui invite les utilisateurs à mettre à jour leur distribution Linux dès que l’éditeur aura publié un correctif.

Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.

La firme a également affirmé que le PoC qu’elle a développé sera bientôt intégré dans un plugin Metasploit. « Nous voulons laisser le temps à chacun de patcher. Lorsque les risques d’exploitation auront diminué de moitié, nous allons libérer l’exploit », affirme Qualys.




Source : Qualys

Et vous ?

Que pensez-vous de cette faille ? Croyez-vous que ses conséquences sont exagérées ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Max Lothaire Max Lothaire - Membre confirmé https://www.developpez.com
le 28/01/2015 à 11:23
La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.
Faille corigée plus d'un an avant sa divulgation ?
Et dire qu'il y en a qui ralent quand on ne leur laisse que 90 jours après découverte...
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 28/01/2015 à 11:36
le correctif n’ayant pas été classé comme un problème de sécurité
c'est ballot
Avatar de Jipété Jipété - Expert éminent https://www.developpez.com
le 28/01/2015 à 11:56
Citation Envoyé par Hinault Romaric Voir le message
Linux secoué par une faille de sécurité critique
...
Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.
Debian 7 : corrigé, plus d'infos là : https://www.debian.org/security/2015/dsa-3142
Avatar de Max Lothaire Max Lothaire - Membre confirmé https://www.developpez.com
le 28/01/2015 à 12:13
Citation Envoyé par Jipété Voir le message
Debian 7 : corrigé, plus d'infos là : https://www.debian.org/security/2015/dsa-3142
Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
C'était déjà précisé.
Avatar de Cyrilange Cyrilange - Membre averti https://www.developpez.com
le 06/02/2015 à 11:36
Voilà qui explique pourquoi Microsoft aime Linux maintenant
Avatar de SurferIX SurferIX - Membre chevronné https://www.developpez.com
le 06/02/2015 à 21:43
Moi je note principalement une chose :

Citation Envoyé par Hinault Romaric Voir le message
Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
Code : Sélectionner tout
sudo apt-get upgrade
et hop on est bon. On compare avec les zero day de Microsoft ?

Ok ok on est vendredi, j'ai mon ticket de troll.
Contacter le responsable de la rubrique Accueil