Une importante faille de sécurité dans Ubuntu a été colmatée il y a quelques jours. Elle concerne l’outil de rapports d’erreurs Apport et peut être exploitée à distance. Il est recommandé d’installer le correctif sans attendre si ce n’est pas déjà fait.
Le chercheur Donncha O'Cearbhaill a publié récemment un billet de blog dans lequel il explique sa découverte, vidéo à l’appui. La faille, estampillée CVE-2016-9949, réside dans l’outil Apport, qui sert normalement – ironie de la situation – à créer des rapports de plantages. Or, s’il reçoit en entrée un rapport spécialement conçu, il peut permettre une exécution de code arbitraire.
La curiosité punie
Tout ce que le pirate doit faire, c’est préparer un fichier .crash à faire ouvrir par l’utilisateur. Apport se lance alors pour le lire et afficher les informations résumées du rapport de plantage. Si l’utilisateur ne fait rien de plus, il s’en sort indemne. S’il clique par contre sur « Afficher les détails », un code Python est alors analysé puis exécuté.
La faille a été initialement introduite le 22 août 2012 dans la révision 2464 d’Apport. Elle est donc exploitable sur toutes les moutures d’Ubuntu depuis la 12.10. Le chercheur a publié une vidéo de démonstration pour montrer la faille en pleine action, de même qu’un PoC (Proof-of-Concept) sur un dépôt Github.
Un correctif publié le 14 décembre
Donncha O'Cearbhaill communique d’autant plus sur la brèche qu’elle a été déjà corrigée par Canonical dans une mise à jour dont la diffusion a commencé le 14 décembre. Les utilisateurs qui n’ont pas encore mis à jour leur machine sont donc chaudement invités à le faire aussi rapidement que possible, car la faille est critique. Cependant, sa dangerosité n’est pleinement exploitable qu’en conjonction d’une autre faille (CVE-2016-9950) qui permettra l’élévation des privilèges du code exécuté.
Les conseils sont dans tous les cas les mêmes que pour n’importe quelle autre exploitation de faille s’appuyant sur un fichier spécialement conçu : attention à ne pas ouvrir n’importe quelle pièce jointe dans un message. Une recommandation élémentaire qui ne dépend pas de l’installation d’un correctif ou de la présence d’une solution de sécurité, et qui reste valable sur toutes les plateformes.
Commentaires (30)
#1
Sur un Ubuntu Server y’a pas de risque alors?
#2
Mise à jour effectuée, même si Apport est désactivé chez moi vu qu’il avait tendance à s’activer pour un rien
#3
Ça fait des années que JVacheZ vous prévient que les logiciel libres ne sont pas sûres pourtant !
#4
#5
ironie de la situation
Je ne vois pas pourquoi.
#6
Ha ces bonnes vielles fonction exec !
Il faudrait vraiment apprendre aux nouveaux développeurs que c’est le mal !
#7
Sans déconner ! Une faille dans un Linux !!?
" />
Nannnnnnnn c’est forcement un complot.
#8
Désactivé depuis longtemps, c’est un outil pénible qui affiche des notifications envahissantes tous les jours (oui, car ubuntu c’est pas stable et il y a toujours des trucs en arrière plan qui crashent).
#9
Boh, des failles on en trouve tous les jours, dans tous les logiciels. Alors elles ne sont pas toutes aussi graves, mais bon ici il faut quand même faire une action assez inhabituelle (à part pour les développeurs) pour pouvoir l’exploiter, il y a pire, du coup j’ai du mal à voir pourquoi faire un article sur celle-ci en particulier, je verrai bien plutôt traiter le patch tuesday de Microsoft…
#10
Vivement qu’on ait des logiciels programmés par des robots construits et programmés par les humains, on évitera les failles humaines dans les logiciels.
Heu non… attendez…
#11
Si tu as des trucs qui crash en arrière plan tous les jours, je dirai que tu as un petit soucis d’installation 
" />
Ca m’arrive d’en avoir mais pas tous les jours… Loin de la, quand même…
#12
Il existe encore lui?
D’ailleurs s’était qui? un troll, fanboy…?
#13
Salut,
" />
Je pense que tu pourras trouver ta réponse dans l’espace détente du Forum…
A+
#14
Un mail avec en PJ ce fameux fichier .crash.
Tu l’ouvres, paf il t’affiche le message de plantage avec l’option “Détails”.
Et là t’auras toujours un ou deux clampins pour vouloir lire le contenu détaillé et la bim il est dedans.
Là où on peut relativiser c’est qu’Ubuntu, bien qu’étant une des distributions les plus répendu, fait toujours parti des 1 ou 2% de parts de marché globale sur les OS. Ca limite déjà pas mal l’impacte et surtout l’intérêt pour d’éventuels pirates de s’y attaquer.
#15
et moi qui pensais que linux était plus sur que Windows.
#16
C’était JVacheZ, le seul, l’unique, le Maître.
" />
#17
Comment le désactive-t-on ?
#18
#19
Vive la documentation: https://doc.ubuntu-fr.org/tutoriel/desactiver_la_fenetre_probleme_logiciel_detec…
#20
Non ça vient de Ubuntu.
J’ai eu des tas de distribution, même de la Fedora Beta, c’est toujours plus stable que Ubuntu.
Sur la 16.04 & 16.10 j’ai un carsh de nm-applet quasiment tous les jours.
#21
Bizarre ! J’ai pas tellement de soucis sous Xubuntu pour ma part, en 16.10.
#22
Ou faut passer sur autre chose tel que Mageïa.
#23
#24
#25
Déjà entendu parlé mais jamais testé ! Ca tourne bien ?
#26
Si on utilise du libre on soutient les communistes ? OMG !
Rm -rf /
😱
#27
#28
Rm : commande inconnue.
#29
Perso, je préfère cette distribution très largement à Ubuntu. Et oui ça tourne assez bien, même sur matériels un peu anciens.
#30