au sommaire
La vulnérabilité Debian identifiée
Fin du mystère : la faille à l'origine du piratage de quatre serveurs du Projet Debian se cache dans un appel de fonction. Il s'agit en réalité d'un dépassement d'entier (lorsqu'un nombre stocké par le programme est beaucoup plus important que prévu) dans l'appel système brk. En exploitant cette faiblesse, n'importe quel programme non-privilégié (en userland) peut accéder à l'ensemble de l'espace mémoire, y compris celui réservé au noyau. A partir de là, il est relativement simple de prendre le contrôle du serveur : c'est ce qu'il s'est passé avec les deux premières machines du Projet Debian.
L'équipe chargée de l'enquête a pu reconstituer l'un des exécutables utilisés par les pirates pour mettre en oeuvre cette attaque. Après déchiffrement (il était protégé par Burneye, de TESO, un outil de chiffrementchiffrement des exécutables LinuxLinux très efficace), le code a été analysé en commun par les équipes sécurité de Red Hat et SuSE, qui ont mis à jour la méthode d'attaque contre l'appel brk.
Cette faille est connue depuis le mois de septembre, mais la version corrigée de l'appel incriminé n'avait pu être ajoutée à temps dans le noyau 2.4.22.
C'est chose faite aujourd'hui, et il vivement conseillé de mettre le noyau à jour.