Un gros trou de sécurité dans Linux pourrait ternir la fin d'année des administrateurs systèmes. En effet, une faille baptisée Grinch, d'après le personnage grognon et farceur de la série Dr Seuss, affecterait tous les systèmes Linux et pourrait offrir un accès racine facile à des pirates, comme l'a révélé hier dans un billet le fournisseur de services de sécurité Alert Logic. Selon l'entreprise de sécurité, la vulnérabilité Grinch pourrait être aussi sérieuse que la faille Shellshock qui a touché l'interpréteur bash de GNU/Linux et perturbé l'Internet en septembre dernier. C'est l'histoire que Alert Logic avait commencé à vendre mardi dernier, mais depuis Red Hat est venu apporter un contre-point. Il ne s'agit pas d'un bug mais d'une fonctionnalité de base du système.
Le défaut fondamental réside dans la façon dont Linux gère les autorisations, puisque le système peut « involontairement » permettre une escalade de privilège et octroyer des droits « root », voire un accès administrateur complet, à un utilisateur. Avec un accès complet à la racine, un attaquant pourrait prendre le contrôle total du système, installer des programmes, voir les données et utiliser la machine comme base d'attaque pour compromettre d'autres systèmes. « À ce jour, Alert Logic n'a pas détecté d'attaque qui exploiterait cette vulnérabilité et son équipe de chercheurs n'a trouvé aucune mention de ce trou dans la base de données des vulnérabilités tenue à jour par l'équipe communautaire d'intervention d'urgence (Community Emergency Response Team - CERT) », comme l'a indiqué Stephen Coty, directeur en charge de la recherche sur les menaces chez Alert Logic.
Un problème lié à l'architecture du noyau Linux
Cette vulnérabilité pourrait concerner tous les systèmes Linux, y compris les versions tournant sur des services cloud comme ceux d'Amazon et de Microsoft. Selon une estimation de W3Techs, environ 65 % des serveurs du réseau Internet tournent avec un système d'exploitation basé sur Unix/Linux. La faille pourrait également affecter les téléphones Android, dont le système est basé sur le noyau Linux. Pour contrôler l'accès administrateur, Linux conserve une liste de tous les utilisateurs enregistrés sur une machine dans un groupe généralement appelé « wheel ». Ces « admin » peuvent bénéficier d'un accès complet à la racine (avec la commande sudo sous Unix). Un attaquant averti pourrait s'octroyer un accès root total en modifiant le groupe, soit directement, soit en passant par un programme parent comme l'interface graphique de Polkit pour modifier les permissions », a expliqué Alert Logic.
L'entreprise de sécurité a averti Red Hat, qui est chargé de la maintenance de Polkit et Red Hat a initié un ticket d'incident sur la question. Cependant, Stephen Coty pense que le problème est fondamentalement lié à l'architecture du noyau Linux et il estime que l'équipe de développement du kernel Linux devrait livrer le correctif définitif. « Il n'existe actuellement aucun patch pour corriger la vulnérabilité, mais il est possible de prendre des mesures préventives pour se prémunir contre d'éventuelles attaques basées sur Grinch » a déclaré Alert Logic. « Il faudrait par exemple contrôler l'usage des logiciels pour surveiller les actions des utilisateurs et pister tout comportement inhabituel. Les entreprises peuvent également reparamétrer les règles d'administration pour limiter les opérations répondant aux commandes sudo ».
euh, c'est normal que sudo permette à un utilisateur d'avoir les pleins pouvoir si le super-utilisateur lui en a donné la permission !! en aucun cas c'est une faille !
Signaler un abusJe me disais au fur et à mesure "mais c'est n'importe quoi" et en lisant les commentaires je vois que je suis pas le seul à le penser...
Signaler un abuspas très clair cet article ...
Signaler un abusallez zou $ mv articlemalfoutu /dev/null
et puis acceder à la racine c'est une faille de sécurité?
Très attristé: les droits d'accès Linux définis dans un fichier appelé wheel???
Signaler un abusWheel est un groupe utilisé par la commande sudo, et les groupes sont stockés dans /etc/group, les users dans /etc/passwd.
Ce genre d'article sera lu par des spécialistes. Il serait interessant que l'auteur comprenne de quoi il parle, et vu qu'on ne peut pas être spécialiste de tout, qu'un second journaliste relise derrière.
Pour moi, "le monde" est un monument. Il faut en prendre soin.
Pas très clair tout cela, mais sauf erreur de ma part, le groupe wheel n'est pas activé sous Debian, quand au mécanisme du sudo, c'est l'administrateur qui le renseigne, en sachant que sous Ubuntu, le premier utilisateur a implicitement les droits admin.
Signaler un abusPour en revenir à l'article, il faut que l'administrateur principal ait donné les droits aux administrateurs tiers pour que ces derniers soient capables de changer la config, ce qui est bien le comportement "normal" de GNU/Linux, et qui oblige tout simplement à savoir à qui on donne les clés de la machine...
Même linux a des problèmes liés à des failles de sécurité critique.Celle-ci semble sérieuse.
Signaler un abuseuh, c'est normal que sudo permette à un utilisateur d'avoir les pleins pouvoir si le super-utilisateur lui en a donné la permission !! en aucun cas c'est une faille !
Signaler un abuseuh, c'est normal que sudo permette à un utilisateur d'avoir les pleins pouvoir si le super-utilisateur lui en a donné la permission !! en aucun cas c'est une faille !
Signaler un abus