Linux : une grave faille découverte dans la bibliothèque glibc

Par:
fredericmazue

lun, 05/02/2024 - 18:31

La bibliothèque glibc est au cœur de tous les systèmes Linux. Une grave faille vient d'y être découverte qui, exploitée, permet une élévation de privlège. Cette faille a été introduite dans la version 2.36 de glibc. Cette vulnérabilité est assez similaire à une autre, découverte en 1993, dans la fonction vsyslog des anciens systèmes Linux.

La faille qui nous intéresse aujourd'hui est estampillée CVE-2023-6246 Le bulletin de sécurité nous apprend qu'un dépassement de tampon basé sur le tas a été trouvé dans la fonction __vsyslog_internal de la bibliothèque glibc. Cette fonction est appelée par les fonctions syslog et vsyslog. Ce problème se produit lorsque la fonction openlog n'a pas été appelée ou appelée avec l'argument ident défini sur NULL et que le nom du programme (le nom de base de argv[0]) est supérieur à 1 024 octets, ce qui entraîne un crash de l'application ou une élévation des privilèges locaux. Ce problème affecte la glibc 2.36 et versions ultérieures.

Il a été vérifié que Debian 12 et 13, Ubuntu 23.04 et 23.10, et Fedora 37 à 39, entre autres, sont vulnérables à ce débordement de tampon.

De l'avis d'experts en la matière cette vulnérabilité ne peut pas être exploitée à distance dans n'importe quel scénario probable, car un exploit nécessite un argv[0], ou un argument d'identification openlog(), de plus de 1024 octets.

Cependant il est très vivement recommandé aux administrateurs systèmes de faire leur mise à jour dès qu'un correction sera disponible.

Un très intéressant billet sur la liste de diffusion d'OpenWall explique les détails techniques relatifs à cette faille et donne une preuve de concept.

Commentaires

bonjour,
Je trouve dommage qu'un site tel que programmez se contente de partager des traductions d'articles sans analyse sans vérification. sans faire une mise à jour de la situation
La vaille évoquée présente dans Librairie GNU C (glibc) version 2.37 a été corrigée par la Librairie GNU C (glibc) version 2.38 avant même la publication de votre billet

source : https://cyberveille-sante.gouv.fr/alertes/gnu-c-cve-2023-6246-2024-01-31

Cependant, cette alerte rappelle l'importance de garder son système à jour.

Elle montre aussi l'intérêt de la transparence du monde du logiciel libre qui ne cache pas les soucis rencontrés. Contrairement aux autres dont on se rend compte qu'après coup et longtemps après et ce de façon récurrente que des failles importantes mais connues de certains éditeurs de logiciels (et certainement des pirates) restaient cachées aux utilisateurs.

Je ne savais effectivement pas que la faille était déjà corrigée. 
Tant mieux.
Mais sur le fond ça ne change rien au fait que les adminstrateurs doivent mettre à jour.