Grinch : une vraie fausse vulnérabilité Linux
jeu, 18/12/2014 - 14:33
Un buzz est en train de monter en ce qui concerne une prétendue vulnérabilité Linux baptisée Grinch. Tout part d'un billet de blog d'Alert Logic.
L'article prête à confusion et certains commentateurs sur le Web y voient une faille aussi grave que la faille Bash alias Shellshock qui a défrayé la chronique fin septembre 2014.
En fait, le billet d'Alert Logic pointe simplement le fait que des utilisateurs Linux appartenant au groupe wheel - groupe certes souvent controversé - peuvent élever leurs privilèges. Ce qui n'a en soi rien d'étonnant puisque le groupe wheel sert à ça. L'élévation de privilèges se fait alors via la commande su, et non la commande sudo, comme on peut le lire ici ou là. Sauf configuration particulière de sudo, bien entendu. Il est vrai que le groupe wheel est souvent dans les autorisations par défaut de sudo.
L'article met en avant des attaques de cette vulnérabilité, par exemple via Polkit. Mais là encore il ne s'agit que de l'attribution de aux membres du groupe wheel.
Il est vrai que le groupe wheel est un groupe dangereux, par définition. Les administrateurs Linux le savent bien. Et à priori, ils ne placent pas dans ce groupe des utilisateurs qui ne sont pas de confiance.
C'est pourquoi on ne peut pas dire que cette vulnérabilité en soit une, ainsi que le soulignent Kurt Seifried de Red Hat et d'autres spécialistes de Linux dans un fil de discussion sur seclists.org.
En revanche cet article a le mérite de sensibiliser les administrateurs Linux sur le fait que la configuration par défaut d'un système fraîchement installé peut grandement fragiliser celui-ci. Mais c'est justement le travail des administrateurs d'ajuster cela.
D'ailleurs une bonne pratique de sécurité ets justement de supprime purement et simplement le groupe wheel :-)