Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une autre faille critique de sécurité a été découverte dans glibc
Et rend les machines sous Linux vulnérables à l'exécution d'un code à distance

Le , par Stéphane le calme

43PARTAGES

7  0 
L'année dernière, des chercheurs en sécurité de Qualys ont parlé d'une faille dans glibc, la bibliothèque C de base de toutes les distributions Linux. Baptisée Ghost, la faille permettait à un pirate distant de prendre le contrôle complet d’un système affecté, sans avoir la moindre connaissance préalable concernant les références du système. Pour rappel, la faille se situe au niveau des fonctions gethostbyname et gethostbyaddr, qui sont appelées par les distributions Linux lorsqu’elles doivent gérer des connexions réseau. Un pirate pouvait alors déclencher un dépassement de mémoire tampon (buffer overflow) dans ces fonctions, en utilisant, par exemple, un argument de nom d’hôte non valide lorsqu’une application effectue une résolution de DNS.

C'est encore cette même bibliothèque glibc qui est au cœur d'une vulnérabilité découverte indépendamment par des chercheurs de Google et de Red Hat.

Google a expliqué que la faille CVE-2015-7547, qui est un dépassement de mémoire tampon (buffer overflow) dans la pile glibc du resolver DNS côté client rendant les machines sous Linux vulnérables à l'exécution d'un code à distance, est déclenchée lorsque la fonction getaddrinfo() est utilisée.

« Les dépassements d'octets sont entièrement sous le contrôle de l'attaquant et sont le résultat d'une réponse DNS », a indiqué dans un autre billet Carlos O'Donnell de Red Hat. Il a avancé par la suite qu'une analyse a « démontré qu'il est possible d'écrire des réponses DNS correctes avec des charges utiles qui vont pénétrer la hiérarchie de cache DNS et donc permettre aux attaquants d'exploiter des machines derrière de tels caches ».

« Les tests effectués en local montrent que nous avons été en mesure de contrôler au moins l'exécution d'un appel free() avec un dépassement de tampon et pris le contrôle de l'EIP. D'autres exploitations n'ont pas été testées, mais cette seule tentative suffisait pour montrer qu'il est très probable que le contrôle de l'exécution puisse être acquis sans beaucoup plus d'effort », a précisé O'Donnel.

Le bogue a été signalé aux responsables de la bibliothèque glibc en juillet dernier, mais semble avoir été signalé dans la version 2.9 de glibc en mai 2008. Carlos O’Donnell (de Red Hat), Florian Weimer (de Red Hat) et Fermin J. Serna (de Google) ont travaillé sur un correctif de sécurité.

Serna pour sa part a confirmé que le problème affecte toutes les versions de glibc à partir de la version 2.9, mais qu'il y a des solutions qui peuvent être implémentées pour mitiger temporairement l'impact en attendant que les machines Linux reçoivent un correctif de sécurité.

« La vulnérabilité repose sur une réponse UDP et TCP surdimensionnée (plus de 2048 octets) qui est suivie par une autre réponse qui va écraser la pile », a expliqué Serna. « Aussi, pour en mitiger l'effet, nous suggérons de limiter la taille des réponses (par exemple en vous servant de DNSMasq ou de programmes similaires) acceptées par le resolver DNS localement. Assurez-vous également que les requêtes DNS ne sont envoyées qu'aux serveurs DNS, ce qui limitera la taille des réponses UDP ».

Google a expliqué que plusieurs vecteurs d'exploitations peuvent être utilisés pour utiliser cette vulnérabilité parmi lesquels ssh, sudo et curl.

Les experts encouragent les administrateurs à appliquer le correctif de sécurité immédiatement.

correctif de la vulnérabilité

Source : Google, Red Hat

Voir aussi :

Linux secoué par une faille de sécurité critique dans glibc, Ghost permet de prendre le contrôle d'un système affecté

Dr Web : un second cheval de Troie qui effectue des captures d'écran sur des dispositifs Linux ~~a été identifié en l'espace d'une semaine

Dr Web détecte sur Linux un nouveau cheval de Troie~~ qui espionne les utilisateurs en effectuant régulièrement des captures d'écran du système

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 17/02/2016 à 21:25
Je pense que si Linux domine largement le monde des serveurs et de l embarqué professionnel ce n est pas un hasard. Le secret de Windows c est de cacher les failles pour laisser le temps aux pirates d en trouver d autres avant de les corriger. Sous Linux en même temps que la faille une parade est publiée...
3  0 
Avatar de rupteur
Membre averti https://www.developpez.com
Le 17/02/2016 à 15:56
Citation Envoyé par SQLpro Voir le message
non seulement on trouve plus de failles dans les OS libres et que ces dernières mettent généralement plus de temps à être découverte et corrigées !

Bref, le monde à l'envers !
Bonjour,
Vous avez des chiffres de ce que vous avancez ? ou est-ce seulement un troll de plus ?

pour ma part je ne crois pas qu'un système est mieux qu'un autre. ensuite à chacun de faire son choix.
2  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 19/02/2016 à 1:18
y'a tellement rien à dire sur cette faille que la discussion part en troll "McCain" sur la sécurité windows/linux; ce sont ceux qui en parlent le plus qui en savent le moins
2  0 
Avatar de max0120
Candidat au Club https://www.developpez.com
Le 17/02/2016 à 8:41
Merci pour l'article mais j'ai remarqué une petite coquille "gesthostbyname" au lieu de "gethostbyname"
Merci
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 17/02/2016 à 16:24
Citation Envoyé par rupteur Voir le message
pour ma part je ne crois pas qu'un système est mieux qu'un autre. ensuite à chacun de faire son choix.
évidemment, et au delà de la ou des failles trouvées/remontées sur les CERT etc. il y a justement l'exploitabilité réelle, disons le simplement les failles ne sont plus du tout aussi triviales à exploiter qu'il y a quelques années et requièrent une véritable expertise, donc concrètement la menace réelle ne concerne peut-être qu'une poignée de pirates sur la planète qui vont s'embêter à monter toute l'infrastructure pour pouvoir exploiter la vulnérabilité de façon industrielle, quant à la réactivité en gros et pour le dire simplement on met son linux à jour chaque jour, on met son windows à jour une fois par mois, donc ouai c'est du troll qui s'ignore peut-être, mais j'étais sérieux dans mon premier post, y'a finalement pas grand chose à dire sur une faille de nos jours, y'a surtout à patcher...
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 17/02/2016 à 14:57
en fait elle est tellement critique et lapidaire cette faille qu'y a rien à dire dessus
0  0 
Avatar de rupteur
Membre averti https://www.developpez.com
Le 17/02/2016 à 15:32
Au fait juste pour information, quelques autres failles de sécurité oubliées ....

CERTFR-2016-AVI-060 Multiples vulnérabilités dans Microsoft Windows (10 février 2016)
CERTFR-2016-AVI-059 Vulnérabilité dans Microsoft Active Directory Federation Services (10 février 2016)
CERTFR-2016-AVI-058 Multiples vulnérabilités dans Microsoft .NET Framework (10 février 2016)
CERTFR-2016-AVI-057 Multiples vulnérabilités dans Microsoft Office (10 février 2016)
CERTFR-2016-AVI-056 Multiples vulnérabilités dans Microsoft Edge (10 février 2016)
CERTFR-2016-AVI-055 Multiples vulnérabilités dans Microsoft Internet Explorer (10 février 2016)

Plus sérieusement, et pour ceux qui ne connaîtraient pas : voir le fil http://www.certa.ssi.gouv.fr/site/certa.rss
c'est bien pratique pour (se) maintenir à jour.
1  1 
Avatar de abobier
Nouveau Candidat au Club https://www.developpez.com
Le 18/02/2016 à 20:29
Je vous invite à aller voir le site http://www.gfi.com/blog proposé par SQLPro, on comprend mieux ces chiffres (certainement inventés d'ailleurs car ils ne veulent rien dire).
C'est comme-ci RussiaToday critiquait la Russie tout en disant que les USA sont le bon exemple mondial.
Fais-moi rire encore STP
1  1 
Avatar de pascalfares
Membre habitué https://www.developpez.com
Le 18/02/2016 à 20:56
Bonsoir,

Comment pouvons nous connaitre le nombre exacte de failles d'un système? En particulier avant de la découvrir?
0  0 
Avatar de
https://www.developpez.com
Le 19/02/2016 à 9:20
A priori, pour obtenir la version de la libc sous Linux, il suffit de taper son nom, comme ça :

Code : Sélectionner tout
1
2
/lib/libc.so.6
Ce qui donne sur un Linux Fedora :

Code : Sélectionner tout
1
2
3
GNU C Library (GNU libc) stable release version 2.21, by Roland McGrath et al.
Copyright (C) 2015 Free Software Foundation, Inc.
Si le problème a été signalé dans la version 2.9, j'ai l'impression que ça fait très longtemps que la faille a été corrigée, non ?
Normalement les failles sont signalées publiquement seulement une fois le correctif corrigé et déployé (chez Linux).
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web