Linux : une nouvelle grave faille dans la glibc

Par:
fredericmazue

mer, 17/02/2016 - 12:24

Il y a un an, une faille baptisée Ghost, avait défrayé la chronique de la sécurité Linux. Cette faille permettait l'exécution de code à distance en soumettant au système une résolution d'un nom de domaine mal formé. La faille se situait dans les fonctions gethostbyname et gethostbyaddr de la glibc.

Aujourd'hui la glibc refait parler d'elle. Une nouvelle vulnérabilité qui concerne encore la résolution DNS y a été découverte. Elle réside dans la fonction getaddrinfo. Cette vulnérabilité permet une attaque par débordement de tampon, donc, potentiellement, une exécution arbitraire de code à distance. Toutes les versions depuis glibc 2.9 sont impactées, mais il n'est pas exclu que des versions antérieures le soient également.

Cette vulnérabilité n'est pas facile à exploiter, mais par contre facile à attaquer, comme toutes les vulnérabilités de ce type, puisqu'il suffit de provoquer une résolution DNS sur le système visé. Une attaque peut-être réalisée par un script malveillant PHP qui aurait été uploadé sur un serveur via une faille présente dans un autre applicatif, ou par le simple envoi d'un mail.

Cette faille a été découverte par Google qui a publié un billet avec des informations techniques. Google dit avoir réussi à exploiter la faille. L'exploit n'est pas donné, mais le billet propose un lien vers une preuve de concept inoffensive.

De son côté Red Hat, qui a découvert la faille en parallèle, donne des solutions pour réduire les risques d'exploitation de cette faille.

Le mieux étant bien entendu d'appliquer les correctifs de sécurité aussi rapidement que possible.