Le bug Glibc de Linux pourrait mettre des milliers de logiciels et d'appareils en danger

Le bug Glibc de Linux pourrait mettre des millions d’utilisateurs en danger à cause de logiciels et d’appareils vulnérables

Des chercheurs en sécurité ont découvert une faille potentiellement catastrophique dans l’un des éléments fondamentaux d’Internet qui laisse des centaines ou des milliers d’applications et d’appareils matériels vulnérables à des attaques pouvant permettre à des hackers potentiels de prendre le contrôle de ceux-ci.

Selon les chercheurs, la vulnérabilité existe depuis 2008 lorsqu’elle a été introduite dans la bibliothèque C GNU. La bibliothèque C GNU est un code open source qui est utilisé pour alimenter des milliers d’applications, de logiciels et est utilisé dans la plupart des distributions Linux. Le bug laisse également les routeurs domestiques et d’autres appareils de l’Internet des objets (IoT) vulnérables aux attaques.

Ars Technica note qu’une fonction connue sous le nom de getaddrinfo() qui effectue des recherches de noms de domaine contient un bug de débordement de tampon qui permet aux attaquants d’exécuter à distance du code malveillant. Elle peut être exploitée lorsque des appareils ou des applications vulnérables effectuent des requêtes vers des noms de domaine ou des serveurs de noms de domaine contrôlés par des attaquants ou lorsqu’ils sont exposés à des attaques de type homme du milieu où l’adversaire a la capacité de surveiller et de manipuler les données passant entre un appareil vulnérable et l’Internet ouvert. Toutes les versions de glibc après 2.9 sont vulnérables.

L’équipe de développement de glibc a publié une mise à jour qui corrige la vulnérabilité. Elle a demandé que tout logiciel ou matériel effectuant des recherches de noms de domaine installe le correctif dès que possible.

Cependant, en raison de la nature du bug, il est extrêmement difficile de savoir à quel point le problème est grave et combien d’appareils pourraient être affectés.

« De nombreuses personnes courent en ce moment pour essayer de déterminer si c’est vraiment catastrophique ou si nous avons évité le pire », a déclaré le professeur Alan Woodward, un expert en sécurité de l’Université de Surrey.

Malgré la publication d’un correctif, comme mentionné ci-dessus, le bug glibc pourrait laisser des milliers d’appareils nomades tels que des routeurs domestiques bon marché vulnérables. De plus, certaines applications qui ont été compilées avec une version vulnérable de glibc devront être recompilées avec une version mise à jour de la bibliothèque, un processus qui prendra du temps alors que les utilisateurs attendent que des correctifs soient disponibles de la part des fabricants de matériel et des développeurs d’applications.

Dans un article de blog expliquant la découverte, l’équipe de Google a détaillé comment une faille dans un code couramment utilisé pourrait être exploitée de manière à permettre un accès à distance à des appareils – qu’il s’agisse d’un ordinateur, d’un routeur Internet ou d’un autre équipement connecté.

Le code peut également se trouver dans de nombreux « éléments de base » du web – des langages de programmation tels que PHP et Python sont affectés, ainsi que des systèmes utilisés lors de la connexion à des sites ou de l’accès à des e-mails.

Quiconque est en mesure de mettre à jour devrait le faire dès que possible. L’article de blog de Google a poursuivi :

Google a trouvé certaines atténuations qui peuvent aider à prévenir l’exploitation si vous n’êtes pas en mesure de corriger immédiatement votre instance de glibc. La vulnérabilité repose sur une réponse UDP ou TCP surdimensionnée (2048+ octets), suivie d’une autre réponse qui écrasera la pile. Notre atténuation suggérée est de limiter la taille des réponses (c’est-à-dire via DNSMasq ou des programmes similaires) acceptées par le résolveur DNS local ainsi que de s’assurer que les requêtes DNS ne sont envoyées qu’à des serveurs DNS qui limitent la taille des réponses pour les réponses UDP avec le bit de troncature activé.

Pendant ce temps, les responsables de Glibc ont fourni les détails d’atténuation supplémentaires suivants :

Facteurs d’atténuation pour UDP incluent :
– Un pare-feu qui rejette les paquets DNS UDP > 512 octets.
– Un résolveur local (qui rejette les réponses non conformes).
– Éviter les requêtes duales A et AAAA (évite l’erreur de gestion de tampon) par exemple :
Ne pas utiliser AF_UNSPEC.
– Pas d’utilisation de options edns0 dans /etc/resolv.conf puisque EDNS0 permet
des réponses plus grandes que 512 octets et peut conduire à des réponses DNS valides
qui débordent.
– Pas d’utilisation de RES_USE_EDNS0 ou RES_USE_DNSSEC car ils peuvent tous deux
conduire à des réponses DNS valides basées sur EDNS0 qui peuvent déborder. Les facteurs d’atténuation pour TCP incluent :
– Limiter toutes les réponses à 1024 octets. Les atténuations qui ne fonctionnent pas :
– Définir options single-request ne change pas la gestion de tampon
et ne prévient pas l’exploitation.
– Définir options single-request-reopen ne change pas la gestion de tampon
et ne prévient pas l’exploitation.
– Désactiver IPv6 ne désactive pas les requêtes AAAA. L’utilisation de AF_UNSPEC
enable inconditionnellement la requête duale.
– L’utilisation de sysctl -w net.ipv6.conf.all.disable_ipv6=1 ne
protège pas votre système contre l’exploitation.
– Bloquer IPv6 à un résolveur local ou intermédiaire ne fonctionne pas pour
prévenir l’exploitation. La charge utile d’exploitation peut être livrée dans des résultats A ou
AAAA, c’est la requête parallèle qui déclenche la faille de gestion de tampon.

La vulnérabilité est comparée à Shellshock, un bug découvert en 2014 qui a affecté une vaste gamme d’appareils informatiques. Les responsables de Red Hat ont plus d’informations ici.