Dirty Cow - Une faille banalement critique dans le noyau Linux

Korben · Octobre 25, 2016, 4:15

Originally published at: http://korben.info/dirty-cow-faille-banalement-critique-noyau-linux.html

Je ne pense pas que ce soit le record de longévité, mais pour une faille, 9 années, c’est pas mal. Hé oui, car il aura fallu 9 ans pour patcher cette vulnérabilité située dans le noyau Linux, qui permet d’obtenir des privilèges sur une machine Linux, sans laisser de trace particulière dans les logs. Linus…

nono723 · Octobre 25, 2016, 10:11

Et pour Android, un correctif de prévue

unixfox · Octobre 26, 2016, 6:40

Tu rêves un peu que ce soit déployé sur tous les smartphones android, à mon avis la mise à jour se fera essentiellement sur les nouveaux smartphones.

Ce genre d’exploit permettra peut-être de rooter son téléphone sans passer par des techniques farfelues.

cryptrz · Octobre 26, 2016, 8:18

Cette faille nous montre une fois de plus que si vous êtes à un poste sensible (Dev dans un ministère par exemple ou journaliste d’investigation), on peut difficilement utiliser autre chose qu’un O.S. à microkernel. Les noyaux monolithiques sont devenus tellement massifs qu’il est difficile de trouver et patcher (Sans tout casser) toutes les failles parmi ses 22 millions de ligne de code.

nono723 · Octobre 26, 2016, 8:49

pour les smartphone sous Cyanogenmod en nightly build…

seb · Octobre 26, 2016, 9:29

C’est à ce moment là qu’on se marre?
Je lis souvent que les failles de sécurité dans l’open source sont corrigées rapidement et c’est une des forces de l’open source et là Korben m’apprend qu’il faut en général 5 ans pour corriger une faille au niveau du noyau de Linux? lol.

babelphotos · Octobre 26, 2016, 11:07

Faut bien trouver un argument pour “vendre” le produit…caramba,encore raté…

ldcn · Octobre 26, 2016, 2:04

Non, pas besoin de se marrer. Il faut voir qu’en sécurité, on associe un risque à une vulnérabilité. Si le risque de la vulnérabilité est considérée est comme étant mineur, le temps peut effectivement exploser.
L’avantage de l’open source, c’est essentiellement la transparence (existance des vulnérabilités, mais également toute la communauté peut contrôler). Et ça, c’est clairement un avantage. Peux-tu en dire autant de MS ? J’en doute.

UpsiloNIX · Octobre 27, 2016, 10:30

Dans les exemples que tu cites, c’est un disque chiffré qu’il te faut. Dans le cas présent on est sur un exploit local, donc il faut un accès SSH ou physique à la machine pour l’utilisé, je doute qu’il y ait un serveur SSH sur un PC de développeur (ou il n’a pas tout compris). Et si une personne malveillante à un accès physique à la machine, il a juste a utiliser le Grub CLI pour avoir un accès root à la machine ou booter sur un live CD (si elle n’est pas chiffrée).

Les MicroKernel c’est bien mais ça a ses avantages et inconvénients c’est comme tout. Et les failles ne sont pas toujours dans le noyau

czerwinski76 · Octobre 27, 2016, 10:32

Merci Korben pour ton article complet. Comme toujours, pas besoin d’aller farfouiller sur internet pour trouver des articles de presse spécialisée incomplets , autant passer ici !

cryptrz · Octobre 27, 2016, 10:59

Beaucoup de machines (de dev ou pas) ont le port SSH ouvert (volontairement ou par manque de vigilance / connaissance). Donc un coup de Metasploit et pouf !

Les failles ne sont pas toujours dans le noyau oui, merci pour la breaking news… Mais comme je dis souvent, la plus grosse faille se trouve entre la chaise et le clavier. C’est la plus facile et la plus rapide à exploiter.

Quand je parlais de microkernel je pensais principalement à Qubes OS (basé sur Xen), qui est devenu mon O.S. principal depuis la version 3.1 . Au-delà de l’aspect “sécurité par isolation”, ça ouvre d’autres possibilités utiles en dev et en pentesting.

MyL0 · Octobre 27, 2016, 11:03

En parlant d’isolation je fais un essai sur une debian avec comme host un cluster proxmox. Donc je confirme l’exploit fonctionne.
Par contre mon serveur Proxmox crash direct !
Pour info: Linux prox-grp-01 4.4.6-1-pve #1 SMP Thu Apr 21 11:25:40 CEST 2016 x86_64 GNU/Linux

Sous VMware pas de soucis et heureusement d’ailleurs car c’est la prod

cryptrz · Octobre 27, 2016, 11:32

Sur une Debian standard oui, ça fonctionne. Cluster ou pas, ça reste une Debian entière. Sous Qubes OS, que ce soit Fedora, Debian, Whonix, Kali, ou autres, un O.S. = plusieurs VM (AppVM + ProxyVM + NetVM + TemplateVM). C’est en ce sens que le terme “isolation” est utilisé avec Qubes, pas “un O.S. dans une VM”.

MyL0 · Octobre 27, 2016, 11:34

C’était pour situer je sais bien que cluster ou pas ça ne change rien. Mais la je parle du host proxmox qui crash suite a l’exploit sur une VM hébergée dessus.

UpsiloNIX · Octobre 27, 2016, 12:24

Avoir un port ouvert c’est une chose, mais s’il n’y a pas de serveur qui écoute derrière, par défaut Linux envoie chier toute connexion entrante
Metasploit c’est bien mais ça ne fait pas de la magie non plus, et la plupart des failles qu’il trouve sont applicative !

Oui je vois pour Qubes, de plus en plus de distro essaie de “containeriser” chaque application, c’est une approche intéressante.

islogged · Octobre 31, 2016, 6:57

Moi aussi aucunes failles sur Linux, mon PC est Off 365j/365

UpsiloNIX · Octobre 31, 2016, 10:47

J’ai du mal à saisir l’intérêt de ton intervention ?

islogged · Novembre 1, 2016, 2:35

Et moi ta précédente ^^
Pas de Serveur = Pas de failles Serveur. C’est évident!

Tous les Os même Windows ne traitent pas l’écoute d’un port qui n’existe pas !
(comprendre Non Ouvert). Ce n’est donc pas un spécificité de Linux/Unix.