Un défaut dans un composant largement utilisé dans la plupart des distributions Linux permettrait à un attaquant de prendre le contrôle à distance d'un système après l'envoi d'un email malveillant. Cette vulnérabilité, surnommée Ghost, se trouve dans la librairie GNU C (glibc) qui définit les appels systèmes, selon l'éditeur de solutions de sécurité Qualys qui a décrit mardi le problème au moment où de nombreuses distributions Linux publient des correctifs.

Contrairement à la fausse faille Linux Grinch de décembre dernier, Ghost apparaît elle comme une vulnérabilité bien réelle. Red Hat, Debian, Ubuntu et Novell ont ainsi livré des correctifs et demandé aux administrateurs d'installer dès que possible les patchs. La première apparition d'un bug dans glibc remonte à 2000 et avait été réparé le 21 mai 2013, entre les versions 2.17 et 2.18 de glibc, a fait savoir Wolfgang Kandek dans un billet de blog. Il avait précisé qu'à cette époque ce défaut n'était pas reconnue comme présentant un risque de sécurité. La plupart des distributions Linux stables et bénéficiant d'un support n'avaient d'ailleurs pas été immédiatement modifiées, dont Debian 7, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7 et Ubuntu 12.04.

Les analystes de Qualys ont développé une attaque de démonstration (POC) en envoyant un email à un serveur de messagerie Exim avec la version vulnérable de glibs et une commande shell distante pour prendre le contrôle du système. Qualys se refuse cependant à fournir plus de détails sur cette attaque afin de ne pas susciter d'attaques.

Ghost vient allonger la longue liste des failles Open Source découvertes en 2014

« Le problème lié à glibc pourrait être difficile à corriger », fait de son côté savoir Mattias Eniar, ingénieur système chez l'hébergeur belge Nucleus. « La mise à jour se trouve dans le package glibc, mais il s'agit d'un set de librairies utilisées par un grand nombre de services en fonctionnement. Après cette mise à jour, chacun de ces services doit être redémarré ». Au final, Mattias Eniar suggère que la meilleure façon de procéder serait de redémarrer tous les serveurs après l'application de la mise à jour, et, au minimum, les serveurs web et de messagerie.

Ghost fait partie des nombreuses failles découvertes l'année dernière dans les composants Open Source, incluant Heartbleed, Poodle et Shellshock. La vulnérabilité dans glibc exploite un débordement de mémoire tampon qui peut être déclenché localement et à distance dans les fonctions « getthostbyname ». Les applications utilisant glibc ont accès à un DNS resolver qui convertit les noms d'hôtes en une adresse IP, a indiqué Wolfgang Kandek.

Qualys a détecté le problème au cours d'un audit de code. Il n'est pas certain que des attaquants aient cependant pu exploiter cette vulnérabilité avant qu'elle soit découverte par cet éditeur.