Si les systèmes d'exploitation Windows constituent la cible préférée des pirates, d'autres sont également dans leur collimateur. C'est le cas par exemple des systèmes Unix dont une vulnérabilité affectant Linux, OpenBSD, NetBSD ou encore FreeBSD et Solaris sur architecture processeur i386 et amd64, a été découverte par Qualys. Dans un blog, des chercheurs du spécialiste en sécurité indiquent qu'une faille relative à la gestion de la pile mémoire de ces systèmes, baptisée Stack Clash, peut ainsi être exploitée par des attaquants pour la corrompre et exécuter du code arbitraire.
« Chaque programme exécuté sur un ordinateur utilise une région de mémoire spéciale appelée pile. Cette partie de la mémoire est spéciale car elle se développe automatiquement lorsque le programme nécessite plus de ressources. Mais si elle augmente trop et devient trop proche d'une autre région de mémoire, le programme peut confondre la pile avec l'autre région de la mémoire. Un attaquant peut exploiter cette confusion pour écraser la pile avec l'autre région de mémoire ou l'inverse », pécise Qualys. Le risque étant qu'un attaquant puisse exploiter cette faille dans une optique d'escalade de privilèges allant jusqu'à un contrôle système total (full root). Suite à un premier bulletin de sécurité CVE-2017-1000364, deux autres ont été publiés (CVE-2017-1000365 et CVE-2017-1000367).
Une vulnérabilité déjà exploitée en 2005 et 2010
Afin de se protéger contre Stack Clash, SuSE, Red Hat, Debian, Ubuntu, OpenBSD et Oracle Solaris ont publié des patchs. Les entreprises ne souhaitant malgré tout ne pas faire évoluer leurs versions peuvent tenter de paramétrer les processus RLIMIT_STACK et RLIMIT_AS des systèmes locaux et services distants à des valeurs relativement basses, explique Qualys. Ce n'est pas la première fois que ce type de vulnérabilité est découvert. Elle a ainsi déjà été exploitée en 2005 et en 2010, année depuis laquelle Linux a intégré une protection pour empêcher ce type d'exploit ce qui n'empêche pas certaines, comme Stack Clash, de passer au travers.
Merci pour le conseil.
Signaler un abusUtilisateur de Linux depuis 1993, développeur et admin à l'occasion, ne racontez pas n'importe quoi ! Linux n'est pas adapté aux besoins actuels des utilisateurs dans les domaines bureautiques et multimédia. C'est un OS serveur de choix c'est un fait ... Arrêtez les trolls ... et gardez votre condescendance ... Les utilisateurs non informaticiens savent faire leur choix, ne les sous-estimez pas.
Article intéressant, et premier commentaire tout autant mais malheureusement hors sujet ;-)
Signaler un abusCe qui est dommageable, c'est de voir que le même type de vulnérabilité est difficile à être corrigée puisque déjà exploitée en 2005 et 2010 et malgré une protection, elle reste exploitable. Elle reste cependant assez complexe (ndlr : ...dans une optique d'escalade de privilèges...).
La stagnation de linux concernant les systemes pro est un fait, et ce qui est grandement regrettable, c'est le peu d'efforts des responsables des grandes distributions Linux envers le grand public. Je ne fonctionne -que sous linux depuis le début... -la première distrib redhat dans les grandes surfaces vers les années 97 ?, puis aurox, puis, puis, etc... La plupart des gens utilisent un portable ou un fixe sous windaub pour des utilisations basiques, en crachant au bassinet tous les deux ans. beaucoup, ne se protègent pas, gardent tous les historiques, ne défragmentent jamais -ou presque- se ruinent en des anti-virus qui ralentissent le fonctionnement de leur cher portable bourré de photos et de films idiots qu'ils de regarderont jamais. Bref, une éducation ciblée vers les particuliers me semble la seule manière de faire éclater ces belles réussites que sont les distribs Linux.
Signaler un abusAh, oui, j'oubliais, les virus dans les entreprises, par XP pro ?... non mis à jour depuis un an ?. Il suffit d'une pc minable dans un coin de bureau, et de messages envoyés et c'est parti...
Alors, Linux réveille-toi il faut saisir cette opportunité, les tablettes ont vécu, il y a un retour vers les pc..
je suis à la disposition pour aider ceux qui voudraient se lancer.
St-G.