Sécurité IT : record de longévité pour une faille
Une vulnérabilité vieille de 20 ans vient d’être corrigée dans la bibliothèque de compression LZO, exploitée par Android, OpenVPN, MPlayer2, Libav ou encore le kernel Linux.
La dernière mise à jour de l’algorithme de Lempel-Ziv-Oberhumer (LZO) n’est pas passée inaperçue et pour cause : elle colmate une faille de sécurité qui touchait ce système de compression de flux depuis sa création… en 1994.
Exploité à l’origine par la NASA pour ses modules envoyés en mission sur Mars, l’algorithme a depuis lors trouvé sa place dans bon nombre de projets IT : Android, OpenVPN, MPlayer2, Libav, le kernel Linux, Junos de Juniper, etc. Les multiples transformations et adaptations qu’il a subies ont compliqué la correction de la vulnérabilité.
Enfin patché avec la version 2.0.7 de LZO, ce « vieux problème » pouvait occasionner une saturation de la mémoire tampon par injection de données malveillantes via certaines variantes dites « sécurisées » du système de décompression. Dans une contribution blog, Don Bailey, CEO et cofondateur de Lab Mouse Security, fournit quelques détails supplémentaires.
Les implémentations de LZO peuvent être sensiblement différentes, mais toutes sont concernées de la même façon par la faille, malgré la confiance témoignée envers l’algorithme, hautement optimisé et connu pour bien fonctionner.
Faisant valoir son expérience de consultant dans la sécurité des technologies mobiles, de l’Internet des objets et des systèmes embarqués, Don Bailey invite les utilisateurs à évaluer leurs algorithmes pour savoir s’ils sont corrigés. Il fournit aux administrateurs plusieurs méthodes permettant de tester la faille en conditions réelles sur des infrastructures, note Silicon.fr.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de l’hébergement Web ?
Crédit illustration : Pavel Ignatov – Shutterstock.com