Une faille critique vieille de 14 ans affecte la plupart des distributions Linux

Qualys signale l’existence d’une faille de sécurité dans la bibliothèque glibc, une vulnérabilité qui affecte la plupart des distributions Linux.

La société Qualys signale l’existence d’une faille de sécurité dans la bibliothèque glibc, une vulnérabilité qui permet à un attaquant de prendre le contrôle de la machine à distance.

Baptisée Ghost, cette faille est exploitable par le biais des fonctions gethostbyname et gethostbyaddr, des fonctions qui permettent comme de traduire un nom de domaine en adresse IP. Il s’agit de provoquer un dépassement de pile dans le but de pouvoir exécuter du code malveillant sur la machine grâce à une élévation de privilège.

Qualys rapporte que cette faille affecte les versions de glibc depuis la version 2.2, soit depuis le mois de novembre 2000, ce qui signifie que cette vulnérabilité existe depuis peu plus de 14 ans. Il est à noter qu’un correctif avait été publié le 21 mai 2013, entre les versions glibc-2.17 et glibc-2.18. N’ayant pas été classées comme bulletin de sécurité, « la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées ».

Certains font remarquer remarquent le caractère obsolète des fonctions gethostbyname et gethostbyaddr. Qualys répond que c’est vrai, mais que de nombreux programmes ont encore recours aux anciennes API et s’exposent donc à ces failles de sécurité.

Il est à souligner que Debian a été le premier à proposer un correctif, suivi par Redhat et Ubuntu.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentiPhone : la Chine premier marché d’Apple ?
Article suivantBouygues Telecom dévoile sa BBox Mini pour l’entrée de gamme

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

3 Commentaires

  1. Qui peut dire que demain nous ne découvrirons pas des failles dans Linux, Solaris, Windows (eux ils n’en parlent presque pas) ou Os X d’Apple, personne ne peut garantir quoi que ce soit dans ce domaine.

    Ce qui peut être garanti sur Linux c’est que dés leurs découvertes tout est fait pour les solutionnés, chez Microsoft il existe une faille (estimée par Windows non dangereuses) depuis Windows 3.1…

    C’est pour cela que Linux sera toujours plus sécurisé, certain se plaignent de la quantité de mises a jours, les mises a jours ne concerne pas uniquement Linux qui est le Kernel, mais aussi tous les logiciels que le système installe automatiquement, mais aussi ceux qui font partie de vos choix, Windows lui ne met a jours que ce qui le concerne le reste débrouillez vous pour le reste et souvent ouvrez votre portefeuille.

    Je me servais de PhotoshopCS3 chez mon employeur, jusqu’au jour je me suis servis de Gimp (je le pratiquais a titre personnel) et régulièrement mis a jours, depuis nous avons tous adopté ce produit phare (GRATUIT) des logiciels Libres (y compris le patron qui lui était réticent, production oblige).

    Ceux qui ont installé Windows 7 en pirate n’auront pas la mise à jour gratuite vers Windows 10.

  2. Gros choc ? lol !
    Grande satisfaction et fierté plutôt !
    Heartbleed, Shellshock et maintenant Ghost (entre autres). Depuis le temps que la communauté GNU/Linux (et du libre en général) se plaint de ne pas voir son code testé, et bien il semblerait que son succès grandissant amène plus d’entreprises à l’étudier sérieusement.
    Et les correctifs ? Ces failles sont généralement corrigées en quelques heures si les correctifs ne sont pas déjà prêts.
    Allons voir du côté des « grands » : http://www.linformatique.org/project-zero-google-devoile-3-failles-non-corrigees-dos-x/.
    Continuons à trouver et corriger plus de failles dans le logiciel libre !

  3. C’est un gros choc pour les fans de Linux ! Personnellement, j’ai cru que Linux est le système le plus stable, tel que celui d’Apple

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here