Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Stack Clash, une importante faille de sécurité pour les systèmes Unix et dérivés

Mettre. À. Jour.
Logiciel 4 min
Stack Clash, une importante faille de sécurité pour les systèmes Unix et dérivés
Crédits : rkankaro/iStock

Une importante faille de sécurité a été découverte dans les systèmes de type Unix, les distributions Linux étant toutes concernées. Elle permet, si exploitée, d’élever les privilèges d’un utilisateur. Les chercheurs qui l’ont découverte n’excluent pas une possible attaque distante.

De nombreux systèmes d’exploitation basés sur Unix sont donc concernés par une vulnérabilité dans la gestion de la mémoire vive. Chaque application possède ainsi une pile, dont la taille grandit ou réduit en mémoire en fonction des besoins, au point parfois de se retrouver proche d’autres zones mémoires. La brèche permet de créer une collision avec ces dernières, un procédé qui ne devrait normalement pas être possible.

Collision et écrasement de zones de mémoire vive

La vulnérabilité a été découverte par Qualys, qui avait récemment alerté d’une autre faille dans Sudo. Dans un billet de blog publié hier soir, elle avertit que de très nombreux systèmes sont touchés, notamment les BSD (OpenBSD, NetBSD et FreeBSD), Solaris et a priori toutes les distributions Linux. La situation d’Android n’est pas encore arrêtée sur ce problème.

La société précise qu’Apple et Microsoft ont été avertis, dans le cas où la faille serait directement exploitable, ou détournée pour s’adapter aux spécificités de Windows et macOS.

La pile est, comme indiqué, un ensemble de données en mémoire dont la taille peut varier. Normalement, des protections existent depuis 2010 (stack page-guard) pour empêcher toute collision de cette pile avec les zones de mémoire adjacentes (stack overflow), contenant des informations différentes. La solution, poussée initialement par Red Hat, avait été ensuite proposée par Linus Torvalds pour intégration dans le kernel Linux.

La technique utilisée par Qualys consiste en fait à réintroduire les grandes lignes de la faille de 2010. Elle permet du coup de contourner ces protections, la rendant dangereuse. Des données de la pile peuvent alors déborder et écraser les autres, ou inversement.

Notez également que la vulnérabilité gagne en potentiel si elle est associée à d’autres failles. C’est notamment le cas de celle dans Sudo : combinées, les deux brèches permettent d'obtenir des droits root pour n’importe quel utilisateur.

D’une élévation de privilèges à une possible exploitation distante

La faille, nommée Stack Clash par les chercheurs, permet donc d’élever les privilèges d’un utilisateur local. En plus des effets inhérents à ce processus – qui permettrait alors de déclencher des opérations auxquelles l’utilisateur n’aurait normalement pas droit – Qualys avertit d’un autre danger.

Il y a en effet risque d’exploitation chez les prestataires fournissant de l’hébergement. Un utilisateur ayant la main sur un serveur peut ainsi exploiter la brèche pour créer une collision avec des processus appartenant à d’autres clients, mais stockés eux aussi dans la mémoire vive.

Par ailleurs, même si Qualys explique que ses quelques tests dans ce domaine n’ont encore rien donné, une attaque à distance reste théoriquement possible.

De nombreux éditeurs sur le pied de guerre

Exploitable dans une vaste liste de systèmes, la faille a provoqué un remue-ménage. Tous les éditeurs concernés travaillent actuellement sur des mises à jour que tous les utilisateurs doivent ou devront installer au plus vite, selon leur disponibilité.

Red Hat a réagi hier au problème, indiquant au passage que la vulnérabilité était estampillée CVE-2017-1364 pour le kernel Linux et CVE-2017-1366 pour glibc. Des patchs sont déjà disponibles, mais ils ne sont pas exempts de problèmes. Celui pour le kernel provoque ainsi un chevauchement de valeurs dans /proc/meminfo, pouvant entrainer des soucis de performances, en dépit de son efficacité. L’éditeur précise qu’une autre mise à jour pourrait arriver plus tard.

Une bonne partie des systèmes affectés disposent désormais d’un ou plusieurs patchs de sécurité.  SI votre système n’en dispose pas encore, Qualys indique que la diffusion est probablement imminente. Il est chaudement recommandé de vérifier leur présence dans le gestionnaire de mises à jour, et de laisser ces dernières sur un mode automatique.

Pas de détails avant qu'une majorité de PC soit mise à jour

La société de sécurité précise en outre que les développeurs qui aimeraient réaliser un exploit basé sur cette faille devraient se pencher sur le logiciel Exim sur une distribution Debian en architecture i386. Qualys ne dit pas exactement comment procéder, mais montre simplement la voie.

Enfin, l’entreprise indique que les détails de la faille seront bien publiés, mais une fois un délai de sécurité passé, afin qu’une majorité de machines concernées soit d’abord mise à jour.

28 commentaires
Avatar de tiret Abonné
Avatar de tirettiret- 20/06/17 à 12:09:48

Debian est patché depuis hier. :-)

Avatar de Athropos INpactien
Avatar de AthroposAthropos- 20/06/17 à 12:19:08

Serveurs mis à jour ce matin, mais si Android est également touché bonjour les dégâts à nouveau...

Avatar de neointhematrix INpactien
Avatar de neointhematrixneointhematrix- 20/06/17 à 12:37:59

Serveur mis à jour également ce matin.

C'est vrai que pour Android, ça peut faire mal encore, si la faille peut être exploitée dessus.

Avatar de nlougne INpactien
Avatar de nlougnenlougne- 20/06/17 à 12:54:21

Les serveurs sont mis à jour pfiou ... et dire que je voulais faire demi-journée. Maintenant à moi une tonne de rapport pour expliquer le problème.

Avatar de _Quentin_ Abonné
Avatar de _Quentin__Quentin_- 20/06/17 à 13:05:01

Athropos a écrit :

Serveurs mis à jour ce matin, mais si Android est également touché bonjour les dégâts à nouveau...

Oui, mais d'un autre côté ça pourrait faire une petite solution universelle pour rooter son téléphone :D

Avatar de Ph11 INpactien
Avatar de Ph11Ph11- 20/06/17 à 13:05:47

Les systèmes Unix, c'est le mal.
Heureusement qu'il y a MultideskOS.

Avatar de _Quentin_ Abonné
Avatar de _Quentin__Quentin_- 20/06/17 à 13:10:42

:bravo:

Non en vrai Unix c'est le bien of course, au moins pour la partie serveur. Après en Desktop c'est un autre débat, chacun trouve midi à sa porte et c'est tant mieux :chinois:

Avatar de dandrz INpactien
Avatar de dandrzdandrz- 20/06/17 à 13:21:37

J'ai cru comprendre qu'il fallait un accès physique à la machine à "rooter" ? Donc cette faille est à priori peu exploitable ? Chuis pas informaticien (juste linuxien sous Mint en plus) alors pas taper si je dis une connerie.

Avatar de jelus INpactien
Avatar de jelusjelus- 20/06/17 à 13:42:57

MacOS est concerné aussi car basé sur Unix si je ne me trompe pas.

Avatar de boogieplayer Abonné
Avatar de boogieplayerboogieplayer- 20/06/17 à 14:01:55

dandrz a écrit :

J'ai cru comprendre qu'il fallait un accès physique à la machine à "rooter" ? Donc cette faille est à priori peu exploitable ? Chuis pas informaticien (juste linuxien sous Mint en plus) alors pas taper si je dis une connerie.

c'est ça, à ce que j'ai compris également.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3