Une grave faille de sécurité affecte le noyau Linux
Joyeux Noël à tous les administrateurs de systèmes Linux ! Et en guise de cadeau : une grave faille de sécurité dans le noyau Linux.
C’est la Zero Day Initiative (ZDI), une société de recherche sur les failles zero-day, qui l’a découverte et annoncée juste avant le réveillon.
Cette vulnérabilité pourrait permettre à un attaquant à distance authentifié de divulguer des informations sensibles et d’exécuter du code sur les versions vulnérables du noyau Linux.
publicité
La faille parfaite ?
Si vous vous demandez si la faille est vraiment grave, sachez que la ZDI lui avait au départ attribué la note parfaite, soit 10/10, sur une échelle qui va de 0 à 10 – le Common Vulnerability Scoring System (CVSS).
Son score a néanmoins été revu à la baisse, et la faille obtient désormais un score de “seulement” 9,6.
Autant dire que quoi qu’il soit, il est nécessaire d’appliquer les correctifs tout de suite sur n’importe quel serveur Linux.
Le nœud du problème
La vulnérabilité affecte ksmbd, qui se situe dans le serveur SMB (Server Message Block) du noyau de Linux 5.15.
Plus précisément, elle se situe dans la commande SMB2_TREE_DISCONNECT.
Le problème résulte de l’absence de validation de l’existence d’un objet avant d’effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du noyau.
Qu’est-ce que ksmbd ?
Ce nouveau programme, introduit dans le noyau en 2021, a été développé par Samsung. Son but était de fournir des performances rapides de service de fichiers SMB3.
SMB est utilisé sous Windows et sous Linux via Samba, comme un protocole de serveur de fichiers essentiel. Ksmbd n’est pas destiné à remplacer Samba mais à le compléter. Les développeurs de Samba et de Ksmbd travaillent à faire fonctionner les programmes de concert.
Cela dit, Jeremy Allison, le co-créateur de Samba, note que « ksmbd ne partage aucun code de production avec Samba. Il a été créé de toutes pièces. Ainsi, cette situation actuelle n’a rien à voir avec le serveur de fichiers Samba que vous exécutez peut-être sur vos systèmes ».
Comment savoir si votre système est vulnérable ?
Toute distribution utilisant le noyau Linux 5.15 ou supérieur est potentiellement vulnérable. Cela inclut Ubuntu 22.04 et ses descendants, Deepin Linux 20.3 et Slackware 15.
Concernant les serveurs, Ubuntu est le plus préoccupant. D’autres distributions d’entreprise, comme la famille Red Hat Enterprise Linux (RHEL), n’utilisent pas le noyau 5.15.
Si vous avez un doute, vous pouvez exécuter la commande uname -r pour connaître la version du noyau que vous exécutez.
Si votre noyau est concerné et que vous souhaitez savoir si le module vulnérable en question est présent et actif, vous pouvez également lancer la commande modinfo ksmb.
Dans le meilleur des cas, le module n’a pas été trouvé. S’il l’est, il faudra passer le plus vite possible à la version du noyau Linux 5.15.61. Malheureusement, cette version du noyau n’est pas encore disponible pour toutes les distributions.
CVE, pas CVE ?
Vu l’importance de cette faille de sécurité, on peut se demander pourquoi aucun numéro CVE ne lui a été attribué. Greg Kroah-Hartmann, le responsable de la branche stable du noyau Linux, a répondu à cette question, arguant que « les développeurs du noyau ne travaillent pas du tout avec les CVE, car ils ne sont pas du tout pertinents pour la plupart de ses problèmes ». Il est vrai que « certaines sociétés Linux insistent encore pour attribuer des CVE, mais c’est principalement pour aider à activer leurs processus d’ingénierie internes ».
Certains utilisateurs sont quant à eux préoccupés par le fait qu’un tel problème puisse exister dans un programme du noyau en premier lieu. Comme l’a dit une personne sur Ycombinator, cela « semble être une surface d’attaque (externe) assez importante à ajouter au noyau ». Elle n’a pas tort. Les implémentations SMB de Windows ont une longue et mauvaise histoire en matière de sécurité. En 2020, par exemple, SMBGhost, alias CoronaBlue, a ouvert les PC Windows 10 aux attaques de sécurité SMB.
Avant même cet épisode, des insiders s’inquiétaient déjà de la sécurité de ksmbd. Kees Cook, développeur principal de la sécurité du noyau Linux, écrivait à ce sujet : « Certaines de ces failles sont des propriétés fondamentales de la sécurité des systèmes de fichiers qui n’ont pas été testées, en dehors du cas bouleversant des débordements de tampon dans un serveur de système de fichiers intégré au noyau. » Avant d’ajouter : « Je suis préoccupé par la qualité du code ici, et je pense que quelque chose doit changer dans les processus de révision et de test. »
Des correctifs ont été apportés, mais ce dernier épisode montre que le code doit être nettoyé et sécurisé davantage avant qu’on lui fasse confiance en production. Il serait sage de patcher le noyau pour l’instant et de ne pas l’utiliser non plus, en faveur de Samba pour le moment.
Source : ZDNet.com
