au sommaire
Logo de Linux
Il y a des séries noires, et ce week-end c'était au tour de LinuxLinux d'en faire les frais. Deux vulnérabilités ont été annoncées pour la version 2.6 du noyau Libre et des exploits sont disponibles sur Internet afin d'en tirer partie.
Plus tôt dans la semaine, un serveur du projet Debian a été compromis via la première de ces vulnérabilités, annoncée le week-end précédent (Linux Kernel "prctl" Privilege Escalation Vulnerability). Le serveur serait tombé après qu'un pirate soit parvenu à voler l'identité d'un développeur, à se connecter sous le compte aux droits restreints de sa victime puis à prendre le contrôle du système à l'aide d'un tel code publié sur Internet (prctl() suidsafe exploit).
La seconde vulnérabilité a été annoncée samedi et pour elle aussi un code d'exploitation a été publié. Le SANS Institute l'a testé avec succès sur SuSE Linux (noyau 2.6.x) à jour de tous les correctifs. L'organisme précise toutefois que l'extension SELinux bloque l'exploit, et que les machines sous Red Hat Enterprise 4 - qui l'intègrent - ne sont donc pas vulnérables.
Si les vulnérabilités locales n'ont historiquement pas la même importance que celles exploitables à distance, les choses ont désormais tendance à évoluer. Il est maintenant de plus en plus courant pour les pirates (et les vers !) d'obtenir un accès local par l'intermédiaire des nombreuses failles applicatives largement documentées (des scripts ASP ou PHPPHP maison mal écrits ou des applicationsapplications vulnérables telles récemment Mambo, Horde, etc...).
Cet accès, le plus souvent au nom du pseudo-utilisateur qui exploite le serveur web, permet alors ensuite de profiter d'une faille locale afin d'obtenir un accès complet sur le serveur en téléchargeant puis en compilant les outils nécessaires.
Méfiance, donc : ne négligez pas les vulnérabilités locales, et corrigez scrupuleusement celles de vos applicatifs web tels que le webmail, CVS, CMSCMS, forums de discussion et autres outils collaboratifs ou communautaires.