Ghost, une faille critique affecte les systèmes Linux

Ghost, une faille critique affecte les systèmes Linux

La société Qualys signale l’existence d’une faille de sécurité dans la bibliothèque glibc, installée sur la plupart des distributions Linux. Cette faille permet à un attaquant de prendre le contrôle de la machine à distance mais a déjà été patché dans un correctif de 2013.

Nouveau jour, nouvelle faille : hier soir, suite à une publication de Qualys, on apprenait la découverte d’une faille de sécurité affectant GlibC, la bibliothèque standard C pour le projet GNU. Baptisée Ghost, elle est exploitable grâce aux fonctions 'gethostbyname' et 'gethostbyaddr', qui permettent comme leur nom l’indique de traduire un nom de domaine en adresse IP.

Cette faille permet à l’attaquant de provoquer un dépassement de tas et dans une certaine mesure d’exécuter du code malveillant sur la machine grâce à une élévation de privilège . Cette faille affecte les versions de glibc depuis la version 2.2 datée du mois de novembre 2000. La faille date donc selon Qualys d’un peu plus de 14 ans.

Mieux vaut prévenir que guérir ?

Qualys relève qu’un correctif publié le 21 mai 2013 entre les versions glibc-2.17 et glibc-2.18 corrige cette faille, mais la société remarque que celui-ci n’ayant pas été classé comme bulletin de sécurité « la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées.» Et comme Qualys fait bien les choses, les différentes distributions ont été notifiées en amont et ont mis en ligne différents patchs afin de prévenir l’exploitation de la faille.

Debian a été le premier à dégainer hier soir mais Redhat ainsi qu'Ubuntu proposent également des correctifs. Si les principales distributions sont réactives, on rappellera néanmoins que la bibliothèque glibc est embarquée sur un grand nombre de distributions basées sur le noyau Linux et que de nombreux appareils sont donc potentiellement touchés : les NAS fonctionnant sur un système d’exploitation pourraient ainsi être également affectées.

Pour l’instant, Qualys n’a pas publié de Proof Of Concept de la faille mais une analyse en profondeur est disponible à cette adresse pour ceux qui aimeraient en comprendre les tenants et les aboutissants. Aucune attaque exploitant ce vecteur n’a encore été signalée mais on peut estimer, maintenant que les informations ont été publiées, que celles-ci devraient commencer à apparaitre.

Une faille vieille de 14 ans, cela peut faire sourire. D’autant plus quand certains remarquent le caractère obsolète des fonctions gethostbyname et gethostbyaddr, qui devraient être remplacées car elles ne fonctionnent que pour une adresse iPv4. Qualys le remarque dans son analyse : la fonction « getaddrinfo » devrait être la norme. Mais dans les faits, de nombreux programmes ont encore recours aux anciennes API et s’exposent donc à ces failles de sécurité, comme le détaille [url=http://www.bortzmeyer.org/ghost-getaddrinfo.html]Stephane Bortzmeyer sur son blog.

[/url]

Source : G-nt + ZDnet + NextInpact

Répondre

comment-avatar

*