Les administrateurs système Linux devraient guetter les prochaines mises à jour du noyau Linux, car elles corrigent une faille d'escalade de privilèges locaux qui pourraient permettre un compromis complet du système. La vulnérabilité, référencée CVE-2017-6074, a probablement été introduite en 2005, il y a donc plus de 11 ans, au moment de l’ajout du support du DCCP (Datagram Congestion Control Protocol) par le noyau Linux. Découverte la semaine dernière, elle a été corrigée aujourd’hui par les développeurs du noyau.
La faille peut être exploitée localement en utilisant des techniques dites de « heap spraying » qui facilitent l’exploitation de failles de corruption de mémoire pour exécuter du code arbitraire à l'intérieur du noyau, lequel dispose des privilèges les plus élevés au sein de l'OS. Andrey Konovalov, le chercheur de Google qui a trouvé la vulnérabilité, a l'intention de publier l’exploit correspondant dans quelques jours. Même si elles ne peuvent pas être exploitées à distance, des vulnérabilités par escalade de privilèges locaux comme celle-ci restent dangereuses, car elles peuvent être combinées avec d'autres failles qui permettraient à des pirates d’obtenir un accès distant à un compte bénéficiant de privilèges inférieurs.
Red Hat a déjà livré des correctifs
Pour que cette faille soit exploitable, le noyau doit contenir l'option CONFIG_IP_DCCP. De nombreuses distributions Linux utilisent des noyaux ayant cette option, mais ce n’est pas le cas de toutes les distributions. Ainsi, Red Hat a annoncé que les noyaux Red Hat Enterprise Linux 5, 6, 7 et Red Hat Enterprise MRG 2 étaient affectés. L’éditeur a livré des correctifs pour Red Hat Enterprise Linux 6 et 7 et pour Red Hat Enterprise Linux for Real Time for NFV (version 7) (kernel-rt).
Le projet Debian a livré des packs kernel fixes pour Debian 7 Wheezy et Debian 8 Jessie, qui sont respectivement l’ancienne et la dernière stable de la distribution. Les versions Debian Stretch (en cours de test) et Sid (toujours instable) n'ont pas encore été corrigées. Des correctifs sont également disponibles pour Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS et Ubuntu 16.10. En ce qui concerne Suse, seul Suse Linux Enterprise Server 10 est concerné et les correctifs ne sont disponibles que pour les clients bénéficiant d'un support à long terme pour le service pack. Les noyaux 1 à 4 de Suse Linux Enterprise Server 11 SP et 1 et 2 de Suse Linux Enterprise Server 12 SP ne supportent pas le protocole DCCP.
Les administrateurs doivent vérifier auprès des éditeurs de leur distribution Linux si leurs systèmes sont vulnérables et si des correctifs sont disponibles. Une atténuation est également : elle consiste à désactiver manuellement le module DCCP du noyau.
Commentaire