On a du lourd aujourd’hui, et pas dans le bon sens du terme. Une faille de sécurité critique vient d’être découverte sur les systèmes GNU/Linux, et elle fait l’effet d’une bombe. On parle d’une vulnérabilité permettant une exécution de code à distance (RCE) non authentifiée. Autant dire que c’est le genre de truc qui donne des sueurs froides aux admins sys ! Déjà que ça sent pas mal la transpi là dedans, ça va pas s’arranger.

Cette faille a été découverte il y a environ 3 semaines par le chercheur en sécurité Simone Margaritelli et elle affecte potentiellement tous les systèmes GNU/Linux. Oui, vous avez bien lu : TOUS.

Cette vulnérabilité a d’ailleurs été évaluée avec un score CVSS de 9.9 sur 10. Pour ceux qui ne sont pas familiers avec cette échelle, disons simplement que c’est l’équivalent d’un 19.8/20 en sécurité informatique. Et c’est pas une bonne note.

Le plus inquiétant dans cette histoire, c’est que cette vulnérabilité serait présente dans le code depuis plus d’une décennie. Pendant que vous jouiez tranquillement à Minecraft durant votre enfance, ou que vous codiez votre premier “Hello World”, cette faille était là, tapie dans l’ombre, attendant son heure.

Mais alors pourquoi est-ce si compliqué de corriger cette faille ?

Eh bien, il semblerait que le problème soit plus complexe qu’il n’y parait. D’après Margaritelli, il faudrait au moins 3 CVE (Common Vulnerabilities and Exposures) pour couvrir tous les aspects de cette vulnérabilité. Ça en fait du boulot !

Bien sûr, comme d’hab, cette situation soulève des questions importantes sur la gestion des vulnérabilités dans le monde open source : Comment peut-on améliorer le processus de détection et de correction des failles ? Comment s’assurer que les développeurs prennent au sérieux les rapports de sécurité ?

Il faut dire que la communication autour de cette vulnérabilité n’a pas été des plus fluides. Margaritelli a d’ailleurs exprimé sa frustration face à certains développeurs qui semblaient plus enclins à défendre leur code qu’à reconnaître le problème.

Mais alors QUE FAIRE ?

Malheureusement, à l’heure où j’écris ces lignes, il n’y a toujours pas de correctif disponible. Les développeurs sont en plein branle-bas de combat pour trouver une solution, mais ça prend du temps. Et pendant ce temps-là, nos systèmes restent vulnérables, même si rassurez-vous, ce n’est pas le genre de faille si facile à exploiter. Ça demande beaucoup d’expertise donc pour le moment, ce n’est pas encore à portée du premier script kiddy qui passe.

En attendant le patch salvateur, voici quelques conseils pour limiter les risques :

• Gardez un œil sur les annonces officielles de votre distribution Linux
• Assurez-vous que vos firewalls sont correctement configurés
• Limitez au maximum l’exposition de vos systèmes sur Internet
• Soyez prêts à déployer le correctif dès qu’il sera disponible

Cette histoire, aussi stressante soit-elle, n’est qu’un rappel que la sécurité est un combat de tous les instants. Restez sur vos gardes, gardez vos systèmes à jour, et n’oubliez pas : dans le doute, sudo rm -rf /* … Non, je déconne, ne faites JAMAIS ça ! 😅

Sur ce, je retourne surveiller mes logs.

Merci à Nicolas pour le partage !

Source : Thread by @evilsocket on Thread Reader App + SecurityOnline