C’est un mauvais cadeau pour les administrateurs systèmes en ce lendemain de fêtes. En effet, ils ont été alertés d’une vulnérabilité du noyau Linux touchant les serveurs SMB (Server Message Block). Une faille à ne pas prendre à la légère, car elle affiche un score de gravité (CVSS) de 10, soit la plus élevée. Exploitée, elle peut conduire à l’exécution de code à distance et entrainer une fuite mémoire (similaire à celle de Heartbleed).

La faille critique a été découverte par la Thalium Team ( composée d’Arnaud Gatignol, Quentin Minster, Florent Saudel, Guillaume Teissier) de Thales Group en juillet dernier. Elle est spécifique au module Ksmbd qui a été ajouté au noyau Linux dans la version 5.15 en 2021. Il a été développé par Samsung en vue de compléter le serveur populaire Samba. Son but était d'offrir des performances de service de fichiers SMB3 rapides.

Une mise à jour du noyaux Linux

Dans un bulletin de sécurité, ZDI donne un peu plus de détail sur la brèche. « Elle réside dans le traitement des commandes SMB2_TREE_DISCONNECT. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le noyau ».

Selon des experts, si la gravité est importante, l’usage de Ksmbd est encore relativement faible. Ceux qui se servent de Samba « sont parfaitement protégés », rassure le chercheur en sécurité Shir Tamari sur Twitter. Pour les personnes utilisant Ksmbd, il existe une solution autre que le passage à Samba : La mise à jour vers la version 5.15.61 du noyau Linux, publiée en août, ou une version plus récente. A condition que les distributions soient compatibles avec cette actualisation.