[Linux] Nouvelle vulnérabilité Linux, “glibc” mis en cause

Une nouvelle vulnérabilité Linux, très critique, a été découverte dans la bibliothèque C GNU (glibc), un élément clé de la plupart des distributions. Bibliothèque utilisée par la plupart des machines Linux, soit par des milliers d’applications et appareils, et qui rend donc ces derniers vulnérables aux pirates informatiques mal intentionnés.

Logo de la glibc

Logo de la glibc


Cliquez sur un lien ou connectez-vous à un serveur et vous pourrez entrainer de l’exécution de code à distance (RCE), permettant aux pirates de voler des informations d’identification, de vous espionner, de prendre le contrôle de votre ordinateur, etc. Cette vulnérabilité est similaire à celle dévoilée l’année dernière (CV-2015-0235) qui a laissé d’innombrables machines vulnérables à l’exécution de RCE.

La Bibliothèque C GNU (glibc) est une collection de code open source qui alimente des milliers d’applications autonomes et la plupart des distributions Linux, y compris ceux qui sont distribués à des routeurs.

L’indexation de cette récente faille est la suivante : CVE-2015-7547.

La faille peut être exploitée lorsqu’un périphérique affecté ou une application effectue des requêtes à un serveur DNS malveillant qui renvoie trop d’informations à une demande de recherche et inonde la mémoire du programme avec le code. Ce code compromet alors l’application ou le périphérique vulnérable et tente de reprendre le contrôle sur l’ensemble du système.

Cependant, un pirate aura besoin de contourner plusieurs mécanismes de sécurité du système d’exploitation, comme ASLR et la protection de pile non-exécutable afin de réaliser avec succès l’attaque de RCE.

Les appareils et logiciels Linux affectés

Toutes les versions de la glibc après 2.9 sont vulnérables. Par conséquent, tout logiciel ou application qui se connecte sur un réseau ou sur Internet et utilise glibc est à risque. Cette vulnérabilité pourrait donc s’étendre aux principaux logiciels :

  • Pratiquement toutes les distributions de Linux ;
  • Les langages de programmation tels que Python, PHP et Ruby on Rails ;
  • La plupart des logiciels Bitcoin.

Les appareils et logiciels Linux non-affectés

La bonne nouvelle est que les utilisateurs du système d’exploitation mobile Android de Google ne sont pas vulnérables à cette faille. Comme la société utilise un substitut de la glibc appelé Bionic. En outre, un grand nombre de périphériques Linux embarqués, y compris les routeurs domestiques, ne sont pas affectés par la vulnérabilité étant donné que ces appareils utilisent la bibliothèque uclibc pour des raisons de légèreté.

La vulnérabilité a été découverte indépendamment par des chercheurs de Google et Red Hat.

Logo de la société Redhat

Logo de la société Red Hat

Quelles sont nos alternatives aujourd’hui

J. Serna (Google) vient de publier un code encore à l’état de POC (proof of concept). Avec ce code POC, vous pouvez vérifier si vous êtes concerné par ce problème crucial, et vérifier les mesures d’atténuation que vous pourriez souhaiter adopter.

 

Les chercheurs de Google, en collaboration avec les chercheurs en sécurité de Red Hat, ont par ailleurs publié un correctif pour corriger l’erreur de programmation. Toutefois, il appartient maintenant à la communauté derrière le système d’exploitation Linux et les fabricants, de déployer un correctif pour leurs logiciels et pour les dispositifs touchés.

Pour les utilisateurs, patcher le problème ne sera pas chose aisée. Les applications compilées avec une version vulnérable de la glibc devront être recompilées avec une nouvelle version sous forme de mise à jour. Un processus qui prendra du temps car les utilisateurs d’applications concernées devront attendre le travail des développeurs.

En attendant, si vous n’êtes pas capable de patcher immédiatement, vous pouvez limiter toute réponse TCP DNS à 1024 octets, et le décrochage de paquets UDP DNS de plus de 512 octets.

Bouton télécharger

Code POC de J. Serna via github.com
Lien miroir

Bouton télécharger

Patch de Carlos O’Donel via sourceware.org
Lien miroir