Discussion :

[Arsene Newman]

Le noyau Linux patché contre l’une de ses plus grandes vulnérabilités
datant de 2009 et permettant une élévation de privilège

Linux peut souffler de nouveau, car les responsables de la maintenance du noyau Linux viennent d’annoncer un corectif d’une faille majeure connue sous la référence CVE-2014-0196, qui touche les systèmes Linux dont le noyau est compris entre la version 2.6.31 et 3.14.3.

La faille qui a été introduite dans la version 2.6.31-rc3 datant de 2009 et qui réside dans la fonction n_tty_write contrôlant les consoles tty, permet à un utilisateur malveillant de gagner en privilège, d’exécuter un code malicieux ou encore de faire crasher un programme sur des systèmes vulnérables, particulièrement ceux utilisés dans le cadre des services d’hébergement web.

« C’est la première vulnérabilité grave de type escalade de privilège depuis la découverte de la faille perf_events (CVE-2013-2094) en avril 2013. Elle est potentiellement exploitable de manière fiable sans dépendre d’une certaine architecture ou configuration et affecte une large gamme de noyaux Linux », a expliqué Dan Rosenberg, expert en sécurité pour le compte d’Azimuth Security, avant de rajouter qu(« un bug d’une telle sévérité apparait seulement une fois toutes les quelques années ».

Outre ces précisions, les experts en sécurité mettent en évidence la facilité avec laquelle un utilisateur peut exploiter cette faille. L’utilisateur doit avoir un compte sur le système ciblé, d’où le risque important pour les services d’hébergement web.

De plus, l’utilisateur peut combiner cette attaque à d’autres attaques qui exploitent des failles spécifiques au système, d’où l’urgence de mettre à jour tout système vulnérable.

Pour l’heure, les systèmes vulnérables à cette faille ne sont pas clairement identifiés, c’est le cas par exemple des systèmes Android et Chrome OS qui sont potentiellement affectés. Toutefois, les équipes des principales distributions Linux n’ont pas tardé à réagir. Ainsi, on apprend que Red Hat Entreprise Linux 5 est hors d’atteinte alors que des mises à jour sont prévues pour la version 6 et MRG2. Du côté d’Ubuntu, la version 14.04 LTS est affectée et s’est vue fixée à travers plusieurs mises à jour. Enfin, Debian a publié un communiqué traitant de cette annonce.

Source : Annonce de maintenance

Et vous ?

Qu’en pensez-vous ?

[Niark13]

Il me tarde de lire la réaction de fleur en plastique...

[Angelsafrania]

Donc une faille mise en "production" en 2009, qui doit donc être potentiellement déjà exploité, a été "découverte" (rapporté officiellement) en décembre 2013 et corrigé en mai 2014. Ça va donné de l'eau au moulin pour les anti-libres... Autant pour moi, le Disclaimer est pourtant bien explicite.
Le problème comme souvent c'est que l'exploitation et la correction de l'erreur est divulgué avec une grande audience, donc le temps que les mises à jour se fassent il y a beaucoup de systèmes qui peuvent être corrompu.

[laerne]

Qu’en pensez-vous ?

J'ai tout de suit pensé « su -c 'yum update' »…

[HardBlues]

J'ai bien peur qu'on est perdu Fleur en plastique
Je la regrette presque parfois, un peu comme ces beaufs avec qui on s’engueule constamment mais qui font parti de la famille...

[Pilru]

Donc une faille mise en "production" en 2009, qui doit donc être potentiellement déjà exploité, a été "découverte" (rapporté officiellement) en décembre 2013 et corrigé en mai 2014.

La faille a été publiquement annoncée le 5 mai 2014. Le patch sur la branche principale du kernel date du 3 mai 2014.
La date 20131203 (mars 2013, date au format US) du CVE ne correspond pas à la date de découverte de la faille (lire le disclaimer).

[marsupial]

http://www.google.fr/url?sa=t&rct=j&...67229260,d.d2k

http://www.01net.com/editorial/62007...en-entreprise/

[acx01b]

je n'ai pas très bien pigé le bug/exploit.
c'est en appelant une fonction pour manipuler /dev/tty (fonction http://manpagesfr.free.fr/man/man3/openpty.3.html) qui est côté kernel qu'on peut lui fournir un buffer overflow (contenant des opcodes) qui permettra avec un peu de chance d'ouvrir une console dans le contexte de cette fonction, et donc avec les privilèges root ?

http://bugfuzz.com/stuff/cve-2014-0196-md.c

[marsupial]

depuis kernel 2.6.32

Le patch est publié pour les distributions Wheezy chez Debian.
Par contre, la thread kernel reste muette à ce sujet dans l'immédiat.
Maintenant qu'un audit des sécurités des projets open source s'intensifie, attendons nous à une recrudescence de patch dans les mois à venir.