IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

De nombreuses distributions Linux affectées par une vulnérabilité dans le système init systemd


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 873
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 873
    Points : 86 887
    Points
    86 887
    Billets dans le blog
    2
    Par défaut De nombreuses distributions Linux affectées par une vulnérabilité dans le système init systemd
    De nombreuses distributions Linux affectées par une vulnérabilité dans le système init systemd
    permettant l’exécution de code à distance

    Chris Coulson, développeur de Canonical, a récemment découvert une faille dans systemd, le système init utilisé dans de nombreuses distributions Linux pour démarrer et gérer des processus. La vulnérabilité réside dans le daemon systemd-resolved. Et elle peut être exploitée à l'aide d'une requête DNS malveillante pour permettre à un attaquant de bloquer un système ou exécuter un code à distance.

    D’après Chris Coulson, ce problème a été introduit dans le code de systemd en juin 2015, dans la version v223. Elle affecte donc la version v223 de systemd ainsi que les versions plus récentes. Les versions affectées permettent à un attaquant d'allouer une petite taille de tampon au traitement des paquets DNS. « Un serveur DNS malveillant peut l'exploiter en répondant avec une charge utile TCP spécialement conçue pour tromper Systemd-resolved en allouant un tampon trop petit et ensuite écrire des données arbitraires [en dehors de la zone de tampon allouée] », explique Coulson.

    Certains fournisseurs de distributions Linux ont déjà commencé à réagir après cette alerte. C’est le cas par exemple de Canonical qui a publié des mises à jour pour Ubuntu 16.10 (Yakkety Yak) et 17.04 (Zesty Zapus) pour protéger ses utilisateurs. Red Hat a également fait savoir que la vulnérabilité n’affecte pas les versions de systemd utilisées avec Red Hat Enterprise Linux 7.

    Pour sa part, l’équipe Debian a déclaré que sa dernière mouture (Debian 9 Stretch) embarque une version vulnérable de systemd, mais le service systemd-resolved où se trouve le bogue n'est pas activé par défaut. Ainsi, ses utilisateurs sont protégés à moins qu'ils aient manipulé les paramètres systemd. Debian doit donc encore publier un correctif pour Stretch. Les versions antérieures comme Jessie et Wheezy, quant à elles, ne contiennent pas le code vulnérable.

    Sources : Chris Coulson, Canonical, Red Hat, Debian

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Linux : une faille de sécurité a été détectée dans sudo, mais a déjà été corrigée sur Red Hat, SUSE et Debian
    Stack Clash : les systèmes Linux et BSD affectés par une vulnérabilité de dépassement de pile mémoire, permettant une élévation de privilèges
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé Avatar de LapinGarou
    Homme Profil pro
    R&D Developer
    Inscrit en
    Octobre 2005
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : R&D Developer
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Octobre 2005
    Messages : 341
    Points : 479
    Points
    479
    Par défaut
    Alors ?! Ils sont où les pro linux qui certifient qu'il n'y a que Microsoft qui a des problèmes avec son OS "tout pourri" ? Pas de commentaire ?
    C'est en ne faisant rien qu'on ne commet pas d'erreur

  3. #3
    Membre à l'essai
    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    Août 2013
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Août 2013
    Messages : 5
    Points : 17
    Points
    17
    Par défaut
    @LapinGarou : Joli Troll 6/10 (pas plus car un peu trop gros quand même)!

    Dans la même veine, les détracteurs de systemd vont s'en donner à cœur joie !

    Pour ma part, je suis content d'avoir cette "transparence" et cette réactivité sous linux.

    Puis la PoC doit pas être à la portée du premier venu !

  4. #4
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 409
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 409
    Points : 4 713
    Points
    4 713
    Par défaut
    Citation Envoyé par LapinGarou Voir le message
    Alors ?! Ils sont où les pro linux qui certifient qu'il n'y a que Microsoft qui a des problèmes avec son OS "tout pourri" ? Pas de commentaire ?
    C'est en ne faisant rien qu'on ne commet pas d'erreur
    Tu ne leur laisse pas le temps de réagir ;-)

    De manière parfaitement objective :
    - La faille à moins de deux ans (comparé à certaines failles de plus de 20 ans sur windows)
    - La faille a été repéré grâce au concept de sources publiques. Corollaire direct : le type de faille et sa correction sont publiques et peuvent servir à la formation (alors que les failles et corrections faites par ms sont privées ==> Erreurs reproductibles)
    - La faille est déjà corrigé dans une partie des systèmes impactés et les suivants ne vont pas tarder. (temps de réaction < 1 mois, comparé aux 3 mois de marge que donne google à MS et que MS n'arrive pas à suivre.)


    évidement, il y a des axes d'améliorations classiques:
    - Relecture plus attentive du code avant de pousser la correction
    - Augmentation de la qualité des Test unitaires

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 532
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 532
    Points : 3 881
    Points
    3 881
    Par défaut
    je me rappelle le merdier que l'integration de system D avait fait à l'époque, ils doivent bien être contant.

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    162
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 162
    Points : 445
    Points
    445
    Par défaut
    On avait prévenu que de tout regrouper dans un seul composant c'était pas une bonne idée

  7. #7
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 549
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 549
    Points : 15 450
    Points
    15 450
    Par défaut
    Citation Envoyé par AoCannaille Voir le message
    évidement, il y a des axes d'améliorations classiques:
    - Relecture plus attentive du code avant de pousser la correction
    - Augmentation de la qualité des Test unitaires
    On peut aussi, utiliser des langages qui empêchent que ce genre d'erreur se transforme en faille de sécurité.

  8. #8
    Membre confirmé Avatar de Andarus
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Novembre 2008
    Messages
    137
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2008
    Messages : 137
    Points : 455
    Points
    455
    Par défaut
    Citation Envoyé par Mimoza Voir le message
    On avait prévenu que de tout regrouper dans un seul composant c'était pas une bonne idée
    c'est vrai mais c'est vrai pour tout.
    Si tout le monde partage le même noyaux linux quand il y a un problème dedans le problème et partagé par tout le monde.
    Si tu fais le tiens il y aura que toi pour voir qu'il y a un problème dedans.

  9. #9
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2004
    Messages
    374
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Juin 2004
    Messages : 374
    Points : 1 399
    Points
    1 399
    Par défaut
    Citation Envoyé par Uther Voir le message
    On peut aussi, utiliser des langages qui empêchent que ce genre d'erreur se transforme en faille de sécurité.
    Je veux bien des détails sur le genre de langage auquel tu penses

    Un langage basé sur les types qui fait que ce genre d'erreur est détecté à la compilation ?

  10. #10
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 549
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 549
    Points : 15 450
    Points
    15 450
    Par défaut
    Le typage peut être bien pour éviter certaines erreurs, mais en l’occurrence, ça n'est pas le problème. Cette faille est a la base un banal dépassement de tampon, un grand classique du C/C++. A peu près tous les langages modernes interprétés et/ou managés empêchent les dépassement de tampons.
    C'est plus rare pour les langages de bas niveau, mais il y en a quand même qui protègent contre ça comme Ada ou Rust.

    Après non, ça ne serait probablement pas détecté à la compilation (quoique peut-être avec Ada). Mais au moins, ça planterait proprement à l'exécution sans ouvrir de faille de sécurité.

  11. #11
    Membre chevronné

    Homme Profil pro
    Consultant informatique
    Inscrit en
    Avril 2015
    Messages
    438
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2015
    Messages : 438
    Points : 1 939
    Points
    1 939
    Par défaut
    A priori Pascal devrait aussi éviter ce type de problème. Mais ce n'est pas une certitude.

  12. #12
    Nouveau Candidat au Club
    Homme Profil pro
    dessinateur
    Inscrit en
    Juillet 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gers (Midi Pyrénées)

    Informations professionnelles :
    Activité : dessinateur
    Secteur : Bâtiment

    Informations forums :
    Inscription : Juillet 2017
    Messages : 1
    Points : 0
    Points
    0
    Par défaut
    il suffit de remplacer le service incriminé par un autre ... dnsmasq par exemple

  13. #13
    Membre averti Avatar de Blackknight
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Février 2009
    Messages
    214
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Février 2009
    Messages : 214
    Points : 383
    Points
    383
    Par défaut
    Après non, ça ne serait probablement pas détecté à la compilation (quoique peut-être avec Ada). Mais au moins, ça planterait proprement à l'exécution sans ouvrir de faille de sécurité.
    En Ada, dès le départ, on éviterait de faire appel à trop de pointeurs comme on peut le voir en C. Il est tout à fait possible d'écrire un programme entier sans en utiliser d'ailleurs.
    Après, si vraiment on veut en utiliser, on les encapsulerait pour éviter d'avoir à les manipuler partout. Et puis, il ne faut pas oublier qu'en Ada, il n'y a pas d'arithmétique de pointeur, que de base, les types de pointeurs sont incompatibles entre eux, qu'il ny a pas de cast implicite et que les cast explicites sont très encadrés.
    Donc déjà, faire un programme dans la même veine que systemd avec la même conception mais en Ada relèverait du challenge, ne serait-ce que pour passer la compilation
    Il y a quelques années, pour ceux qui voulaient un DNS qui n'avait pas de failles, j'aurais conseillé Ironsides, un serveur DNS écrit en Spark
    Bon, compte tenu des évolutions sur Spark ces dernières années, je suis sûr qu'il ne compile plus avec les versions récentes de chez Adacore

  14. #14
    MikeRowSoft
    Invité(e)
    Par défaut
    Qu'en est-il de Tails ?

  15. #15
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 307
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 307
    Points : 42 705
    Points
    42 705
    Par défaut
    Pareil, Tail est une base Debian.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

Discussions similaires

  1. Réponses: 0
    Dernier message: 20/06/2017, 20h03
  2. Réponses: 2
    Dernier message: 06/04/2017, 22h47
  3. Linux et Unix affectés par une faille critique dans Bash
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 60
    Dernier message: 22/11/2014, 06h12
  4. Réponses: 4
    Dernier message: 24/10/2014, 13h21
  5. Réponses: 2
    Dernier message: 07/05/2012, 14h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo