Discussion :

[Olivier Famien]

Une faille zero day vient d’être découverte dans le noyau Linux
la vulnérabilité affecte les versions 3.8 et supérieures de Linux Kernel

Une faille de type de zero day datant de 2012 vient d’être découverte dans le noyau Linux par l’entreprise de cyber sécurité Perception Point. Pour rappel, une faille de type zero day est une vulnérabilité qui ne dispose pas encore de correctifs.

Selon les chercheurs de l’entreprise de sécurité, cette faille affecte le mécanisme de sécurité du noyau Linux utilisé pour gérer le stockage des données de sécurité de la cache, les clés d’authentification, les clés de chiffrement et plusieurs autres données. Dans les faits, Perception Point explique que chaque processus peut créer un trousseau de clés (keyring) pour la session en cours en utilisant l’utilitaire keyctl.

En le faisant, il est également possible d’assigner à la chaine de clés un paramètre de nom ou aucun paramètre. Plusieurs processus s’exécutant sur la machine, il est également possible de partager l’objet keyring créé entre ces processus. Aussi, si un processus possède déjà un trousseau de clés de session, le système remplace son trousseau de clés par celui qui a été appelé. Et lorsqu’un objet est partagé entre plusieurs processus, le compteur de référence est incrémenté.

Toutefois, lorsqu’un processus essaie de remplacer le trousseau de clés de sa session en cours avec une chaine de clés identiques, il survient une fuite de mémoire qui peut être exploitée pour exécuter du code arbitraire dans le noyau Linux.

Cette faille a été détectée sur les versions 3.8 et supérieures du noyau Linux et porte la référence CVE-2016-0728. Selon Perception Point, elle touche des dizaines de millions de PC et serveurs Linux (32 et 64 bits). En outre, Android étant également basé sur le noyau Linux, ce système d’exploitation n’est pas non plus épargné par le bogue trouvé. Selon les estimations de Perception Point, cette vulnérabilité affecte 66 % de tous les appareils Android mobiles, téléphones et tablettes confondus.

Cependant, bien que la faille affecte un grand nombre de dispositifs Linux et Android, l’entreprise de sécurité rassure qu’aucune exploitation de cette vulnérabilité n’a été détectée sur la toile. De même, l’équipe de sécurité Linux serait à pied d’œuvre pour colmater la brèche découverte.

Les seules craintes seraient donc du côté d’Android où il est récurrent de constater que les fabricants sortent assez tardivement les correctifs. Et pour certains anciens appareils, ces derniers ne délivrent plus de mises à jour de sécurité.

Preuve de concept sur GitHub

Source : Perception Point

Et vous ?

Que pensez-vous de cette faille datant de quatre ans ? De quoi remettre en cause la sécurité de Linux ?

Voir aussi

Forum Sécurité

[monwarez]

Une preuve de concept a été faite sur gist.github.com, néanmoins il parait qu'elle nécessite quelque correctif pour que cela fonctionne.

[persé]

ahh les mythes de apple et Linux

[BufferBob]

cette vulnérabilité affecte 66 % de tous les appareils Android mobiles, téléphones et tablettes confondus.

vivement le correctif, qu'on puisse mettre à jour

[imikado]

ahh les mythes de apple et Linux

Quel mythe ?

L'avantage de GNU/Linux: les sources sont disponibles, on voit ici l'intéret: une société externe non rémunéré par les developpeurs du kernel trouve une faille

Chez les OS propriétaires, ils doivent/devraient payer à chaque version (majeur ET mineures) pour réinspecter tout le code source à la recherche de faille.

Dans mon domaine, on paie régulièrement pour des audits de sécurités, et le moins que l'on puisse dire c'est que c'est un gros budget: encore plus cher si on fournit les sources pour de la revue de code...
Je ne pense pas qu'actuellement : ni Microsoft ni Apple paie à chaque fois une société externe pour le faire...

On le voit d'ailleurs: pour les OS propriétaires des sociétés/hackeurs arrivent à trouver des failles sans les sources...

[Invité]

Je ne pense pas que ça puisse remettre en cause la sécurité de Linux, vu que, après tout, tout système physique comme numérique a ses failles.
Comme dit plus haut (bas ?), Linux étant un système dont le code source est disponible en ligne, n'importe qui peut travailler sur l'amélioration de la sécurité de ce système, ce qui donne quand même un très gros avantage par rapport aux systèmes propriétaires qui doivent souvent mettre beaucoup d'argent pour avoir une équipe qui travaille sur ces failles (et ne cherchent pas simplement à les exploiter).

Au moins, ça donnera du boulot à tous les petits curieux et codeurs qui travaillent sur notre manchot préféré, qui auront un nouveau défi "Comment fix cette faille" !

[jean-dupont]

Sauf qu'une fuite mémoire est un gâchis de ressources mais ne peut en aucun cas conduire à une exécution de code arbitraire!

[BufferBob]

Sauf qu'une fuite mémoire est un gâchis de ressources mais (...)

pas seulement, dans ce qui fuit il peut y avoir des informations sensibles, ça s'est déjà vu sur des leak plus ou moins contrôlés permettant de récupérer des hash de mots de passe systèmes ou des parties du code source d'une page web
du coup l'exécution de code elle est plus très loin derrière, même si elle n'implique pas de shellcode...

[Pascaltech]

Cela prouve qu'il y a de fortes compétences à disposition sur la toile et nous a permis de connaître cette entreprise.