Sécurité IT : le spectre de GHOST plane sur Linux
Qualys a découvert, dans la bibliothèque GNU/Linux glibc, une vulnérabilité qui permet expose de nombreux systèmes à une prise de contrôle à distance.
Nom : GHOST. Matricule : CVE-2015-0235. Importance : critique sur la majeure partie des systèmes Linux.
Ainsi Qualys présente-t-il cette faille de sécurité qui expose de nombreux équipements – parmi lesquels des modems-routeurs et des serveurs de stockage NAS – à des prises de contrôle à distance… le tout sans authentification.
La vulnérabilité réside dans glibc, implémentation de la bibliothèque C sur les distributions GNU/Linux. Elle tire son nom (GHOST) des deux fonctions qui permettent de l’exploiter : en l’occurrence, gethostbyname et gethostbyaddr.
Ces dernières sont utilisables en lien avec le système de résolution DNS, qui gère l’attribution de noms symboliques (de type « Mon PC ») à des adresses IPv4 ou IPv6. Ces correspondances sont généralement stockées dans le fichier /etc/hosts. gethostbyname fournit des informations sur un hôte en fonction de son nom ; gethostbyaddr s’appuie sur son IP.
Problème : ces commandes peuvent être exploitées, aussi bien localement qu’à distance, pour provoquer un dépassement de capacité mémoire à travers la fonction _nss_hostname_digits_dots() de glibc. Dans sa démonstration, Qualys est parvenu à prendre le contrôle d’un serveur… en envoyant simplement un e-mail piégé.
Toutes les versions de glibc sont concernées depuis la 2.2, lancée le 10 novembre 2000. Un correctif avait été publié en mai 2013 avec glibc-2.17 et glibc-2.18, mais il n’avait pas été classé comme bulletin de sécurité. Bilan : la plupart des distributions stables et bénéficiant d’un support étendu sont restées vulnérables. C’est le cas de Debian 7 « Wheezy », de Red Hat Linux Enterprise 6 et 7, de CentOS 6 et 7 ou encore d’Ubuntu 12.04.
Des travaux ont été menées avec les différents fournisseurs d’OS Linux pour proposer un patch. Dans une interview vidéo (ci-dessous, en anglais), Amol Sarwate, chercheur en sécurité chez Qualys, revient plus en détail sur la faille et ses implications.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?
Crédit photo : Gunnar Pippel – Shutterstock.com