Une nouvelle faille de sécurité aux conséquences désastreuses a été découverte par les chercheurs en sécurité de Qualys dans glibc, la bibliothèque C de base de toutes les distributions Linux.
Baptisée Ghost, la faille permet à un pirate distant de prendre le contrôle complet d’un système affecté, sans avoir la moindre connaissance préalable concernant les références du système. La faille se situe au niveau des fonctions gesthostbyname et gethostbyaddr, qui sont appelées par les distributions Linux lorsqu’elles doivent gérer des connexions réseau. Un pirate peut déclencher un dépassement de mémoire tampon (buffer overflow) dans ces fonctions, en utilisant, par exemple, un argument de nom d’hôte non valide lorsqu’une application effectue une résolution de DNS.
« Il suffit, par exemple, qu’un pirate envoie un mail sur un système Linux pour obtenir automatiquement un accès complet à cette machine », explique Wolfgang Kandek, directeur technique de Qualys. La firme a d’ailleurs mis au point une preuve de faisabilité (PoC) qui permet d’accéder au Shell d’un serveur par le biais d’un mail. Selon Qualys, cette attaque permet de contourner toutes les mesures de sécurité existantes sur le système affecté, dont ASLR , PIE et NX.
La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.
Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.
« Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. », met en garde Qualys, qui invite les utilisateurs à mettre à jour leur distribution Linux dès que l’éditeur aura publié un correctif.
Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
La firme a également affirmé que le PoC qu’elle a développé sera bientôt intégré dans un plugin Metasploit. « Nous voulons laisser le temps à chacun de patcher. Lorsque les risques d’exploitation auront diminué de moitié, nous allons libérer l’exploit », affirme Qualys.
Source : Qualys
Et vous ?
Que pensez-vous de cette faille ? Croyez-vous que ses conséquences sont exagérées ?