Nom : GHOST. Matricule : CVE-2015-0235. Importance : critique sur la majeure partie des systèmes Linux.
Ainsi Qualys présente-t-il cette faille de sécurité qui expose de nombreux équipements – parmi lesquels des modems-routeurs et des serveurs de stockage NAS – à des prises de contrôle à distance… le tout sans authentification.
La vulnérabilité réside dans glibc, implémentation de la bibliothèque C sur les distributions GNU/Linux. Elle tire son nom (GHOST) des deux fonctions qui permettent de l’exploiter : en l’occurrence, gethostbyname et gethostbyaddr.
Ces dernières sont utilisables en lien avec le système de résolution DNS, qui gère l’attribution de noms symboliques (de type « Mon PC ») à des adresses IPv4 ou IPv6. Ces correspondances sont généralement stockées dans le fichier /etc/hosts. gethostbyname fournit des informations sur un hôte en fonction de son nom ; gethostbyaddr s’appuie sur son IP.
Problème : ces commandes peuvent être exploitées, aussi bien localement qu’à distance, pour provoquer un dépassement de capacité mémoire à travers la fonction _nss_hostname_digits_dots() de glibc. Dans sa démonstration, Qualys est parvenu à prendre le contrôle d’un serveur… en envoyant simplement un e-mail piégé.
Toutes les versions de glibc sont concernées depuis la 2.2, lancée le 10 novembre 2000. Un correctif avait été publié en mai 2013 avec glibc-2.17 et glibc-2.18, mais il n’avait pas été classé comme bulletin de sécurité. Bilan : la plupart des distributions stables et bénéficiant d’un support étendu sont restées vulnérables. C’est le cas de Debian 7 « Wheezy », de Red Hat Linux Enterprise 6 et 7, de CentOS 6 et 7 ou encore d’Ubuntu 12.04.
Des travaux ont été menées avec les différents fournisseurs d’OS Linux pour proposer un patch. Dans une interview vidéo (ci-dessous, en anglais), Amol Sarwate, chercheur en sécurité chez Qualys, revient plus en détail sur la faille et ses implications.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?
Crédit photo : Gunnar Pippel – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…