IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Linux secoué par une faille de sécurité critique


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 322
    Points
    252 322
    Billets dans le blog
    117
    Par défaut Linux secoué par une faille de sécurité critique
    Linux secoué par une faille de sécurité critique
    Ghost permet de prendre le contrôle d’un système affecté

    L’écosystème de l’open source est à nouveau secoué par une faille de sécurité critique dans un produit populaire, après les vulnérabilités Heartbleed et Shellshock.

    Une nouvelle faille de sécurité aux conséquences désastreuses a été découverte par les chercheurs en sécurité de Qualys dans glibc, la bibliothèque C de base de toutes les distributions Linux.

    Baptisée Ghost, la faille permet à un pirate distant de prendre le contrôle complet d’un système affecté, sans avoir la moindre connaissance préalable concernant les références du système. La faille se situe au niveau des fonctions gesthostbyname et gethostbyaddr, qui sont appelées par les distributions Linux lorsqu’elles doivent gérer des connexions réseau. Un pirate peut déclencher un dépassement de mémoire tampon (buffer overflow) dans ces fonctions, en utilisant, par exemple, un argument de nom d’hôte non valide lorsqu’une application effectue une résolution de DNS.

    « Il suffit, par exemple, qu’un pirate envoie un mail sur un système Linux pour obtenir automatiquement un accès complet à cette machine », explique Wolfgang Kandek, directeur technique de Qualys. La firme a d’ailleurs mis au point une preuve de faisabilité (PoC) qui permet d’accéder au Shell d’un serveur par le biais d’un mail. Selon Qualys, cette attaque permet de contourner toutes les mesures de sécurité existantes sur le système affecté, dont ASLR , PIE et NX.

    La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.

    Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.

    « Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. », met en garde Qualys, qui invite les utilisateurs à mettre à jour leur distribution Linux dès que l’éditeur aura publié un correctif.

    Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.

    La firme a également affirmé que le PoC qu’elle a développé sera bientôt intégré dans un plugin Metasploit. « Nous voulons laisser le temps à chacun de patcher. Lorsque les risques d’exploitation auront diminué de moitié, nous allons libérer l’exploit », affirme Qualys.




    Source : Qualys


    Et vous ?

    Que pensez-vous de cette faille ? Croyez-vous que ses conséquences sont exagérées ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 155
    Points : 578
    Points
    578
    Par défaut
    La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.
    Faille corigée plus d'un an avant sa divulgation ?
    Et dire qu'il y en a qui ralent quand on ne leur laisse que 90 jours après découverte...

  3. #3
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    894
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 894
    Points : 2 027
    Points
    2 027
    Par défaut
    le correctif n’ayant pas été classé comme un problème de sécurité
    c'est ballot

  4. #4
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    9 335
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 9 335
    Points : 13 262
    Points
    13 262
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Linux secoué par une faille de sécurité critique
    ...
    Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables.
    Debian 7 : corrigé, plus d'infos là : https://www.debian.org/security/2015/dsa-3142
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  5. #5
    Membre confirmé Avatar de Max Lothaire
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2014
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2014
    Messages : 155
    Points : 578
    Points
    578
    Par défaut
    Citation Envoyé par Jipété Voir le message
    Debian 7 : corrigé, plus d'infos là : https://www.debian.org/security/2015/dsa-3142
    Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
    C'était déjà précisé.

  6. #6
    Membre averti
    Avatar de Cyrilange
    Profil pro
    Inscrit en
    février 2004
    Messages
    268
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2004
    Messages : 268
    Points : 351
    Points
    351
    Par défaut
    Voilà qui explique pourquoi Microsoft aime Linux maintenant

  7. #7
    Membre chevronné
    Homme Profil pro
    Mentaliste
    Inscrit en
    mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 872
    Points : 1 764
    Points
    1 764
    Par défaut
    Moi je note principalement une chose :

    Citation Envoyé par Hinault Romaric Voir le message
    Avant la divulgation de la faille, Qualys a signalé le problème aux éditeurs de distributions Linux, qui ont rapidement mis au point des correctifs. Des mises à jour sont notamment disponibles pour Debian, Ubuntu et Red Hat.
    et hop on est bon. On compare avec les zero day de Microsoft ?

    Ok ok on est vendredi, j'ai mon ticket de troll.
    .I..

Discussions similaires

  1. Internet Explorer 11 affecté par une faille critique
    Par Amine Horseman dans le forum Sécurité
    Réponses: 11
    Dernier message: 08/02/2015, 17h49
  2. Linux et Unix affectés par une faille critique dans Bash
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 60
    Dernier message: 22/11/2014, 05h12
  3. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04
  4. Firefox victime d'une faille de sécurité ouverte par Windows Update
    Par Gordon Fowler dans le forum Actualités
    Réponses: 17
    Dernier message: 09/12/2009, 10h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo