Une importante faille de sécurité dans Ubuntu a été colmatée il y a quelques jours. Elle concerne l’outil de rapports d’erreurs Apport et peut être exploitée à distance. Il est recommandé d’installer le correctif sans attendre si ce n’est pas déjà fait.
Le chercheur Donncha O'Cearbhaill a publié récemment un billet de blog dans lequel il explique sa découverte, vidéo à l’appui. La faille, estampillée CVE-2016-9949, réside dans l’outil Apport, qui sert normalement – ironie de la situation – à créer des rapports de plantages. Or, s’il reçoit en entrée un rapport spécialement conçu, il peut permettre une exécution de code arbitraire.
La curiosité punie
Tout ce que le pirate doit faire, c’est préparer un fichier .crash à faire ouvrir par l’utilisateur. Apport se lance alors pour le lire et afficher les informations résumées du rapport de plantage. Si l’utilisateur ne fait rien de plus, il s’en sort indemne. S’il clique par contre sur « Afficher les détails », un code Python est alors analysé puis exécuté.
La faille a été initialement introduite le 22 août 2012 dans la révision 2464 d’Apport. Elle est donc exploitable sur toutes les moutures d’Ubuntu depuis la 12.10. Le chercheur a publié une vidéo de démonstration pour montrer la faille en pleine action, de même qu’un PoC (Proof-of-Concept) sur un dépôt Github.
Un correctif publié le 14 décembre
Donncha O'Cearbhaill communique d’autant plus sur la brèche qu’elle a été déjà corrigée par Canonical dans une mise à jour dont la diffusion a commencé le 14 décembre. Les utilisateurs qui n’ont pas encore mis à jour leur machine sont donc chaudement invités à le faire aussi rapidement que possible, car la faille est critique. Cependant, sa dangerosité n’est pleinement exploitable qu’en conjonction d’une autre faille (CVE-2016-9950) qui permettra l’élévation des privilèges du code exécuté.
Les conseils sont dans tous les cas les mêmes que pour n’importe quelle autre exploitation de faille s’appuyant sur un fichier spécialement conçu : attention à ne pas ouvrir n’importe quelle pièce jointe dans un message. Une recommandation élémentaire qui ne dépend pas de l’installation d’un correctif ou de la présence d’une solution de sécurité, et qui reste valable sur toutes les plateformes.