Qualys vient de lever le voile sur une faille de sécurité critique touchant la glibc, la bibliothèque C de base des systèmes Linux. La vulnérabilité Ghost permet de prendre le contrôle d’un système à distance, sans même connaître ses identifiants administrateur.
« Ghost expose à un risque d’exécution de code à distance qui rend l’exploitation d’une machine par un pirate terriblement enfantine. Il suffit par exemple qu’un pirate envoie un mail sur un système Linux pour obtenir automatiquement un accès complet à cette machine », explique Wolfgang Kandek, directeur technique de Qualys, Inc.
« Compte tenu du nombre de systèmes basés sur la glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. La meilleure marche à suivre pour atténuer le risque est d’appliquer un patch fourni par votre fournisseur de distribution Linux. »
Qualys a travaillé main dans la main avec les créateurs de systèmes basés sur un noyau Linux afin qu’ils puissent proposer un correctif dès la divulgation de cette faille. Red Hat indique ainsi qu’il propose des correctifs pour ses OS RHEL 5, 6 et 7. Même mouvement pour Ubuntu 10.04 et 12.04. CentOS 6 et 7 et Debian 7 sont toujours menacés par cette faille, les correctifs n’étant pas encore prêts. Chez SUSE, seules les versions 11 et inférieures de ses OS seraient touchées par Ghost.
A priori, tous les systèmes Linux intégrant la glibc 2.2 ou supérieur sont touchés. Le passage en mai 2013 vers la glibc 2.18 a toutefois réduit la portée de cette faille. Ce correctif n’ayant pas été signalé comme important du point de vue de la sécurité, il n’a cependant pas toujours été intégré dans les distributions Linux.
À lire aussi :
Linux, prêt pour le 100 Gigabit Ethernet ?
Linux 3.18 : de meilleures performances, mais toujours des problèmes
SUSE propose des correctifs noyau applicables à chaud pour son OS Linux
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…