Une vulnérabilité dans la Glibc permet d'obtenir les privilèges root

vulnérabilité

Si elles sont exploitées, ces failles peuvent permettre aux attaquants d'obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.

La récente vulnérabilité découverte par les chercheurs Qualys dans Glibc (la bibliothèque GNU C) qui Autorise l'accès root sur les appareils basés sur Linux, aurait été accidentellement introduit en août 2022 avec la sortie de la version 2.37 de la glibc.

La vulnérabilité répertoriée sous « CVE-2023-6246 » et un score CVSS de 7.8, est dû à un débordement de tampon et provient de la fonction vsyslog_internal()» de la glibc, qui est utilisée par syslog() et vsyslog() à des fins de journalisation système.

Pour ceux qui ne connaissent pas Glibc, sachez qu'il s'agit d'une bibliothèque fondamentale pour les programmes écrits en langage C, agissant comme une interface standard entre les programmes et le système d'exploitation sur lequel ils s'exécutent. La faille d'élévation de privilèges affecte les fonctions internes syslog et vsyslog, deux composants cruciaux du registre système sous Unix et des systèmes similaires, y compris les systèmes basés sur GNU/Linux.

Cette faille permet une élévation locale des privilèges, permettant à un utilisateur non privilégié d'obtenir un accès root complet", a déclaré Saeed Abbasi, chef de produit au sein de l'unité de recherche sur les menaces de Qualys, ajoutant qu'elle affecte les principales distributions Linux telles que Debian, Ubuntu et Fedora.

Un acteur malveillant pourrait exploiter cette faille pour obtenir des autorisations élevées via des entrées spécialement conçues pour les applications qui utilisent ces fonctionnalités de registre. » Bien que la vulnérabilité nécessite des conditions spécifiques pour être exploitée (comme un argument argv[0] ou openlog() anormalement long), son impact est important en raison de l'utilisation généralisée de la bibliothèque affectée. 

Syslog est un protocole et une application utilisés pour enregistrer les journaux système, tandis que vsyslog offre des capacités de journalisation virtuelle avancées pour une gestion plus spécifique des journaux dans des environnements complexes. Les deux sont essentiels pour la traçabilité et le dépannage lors de l’enregistrement d’événements importants.

L'ampleur du risque est qu'un débordement de tampon peut permettre à un attaquant d'obtenir un accès complet au système en tant que root, via une entrée contrefaite envoyée aux applications qui utilisent les fonctions de journalisation vsyslog et syslog.

Lors des tests effectués par les chercheurs, il a été confirmé que plusieurs distributions Linux, dont Debian 12 et 13, Ubuntu 23.04 et 23.10 et Fedora (versions 37 à 39 incluses) sont vulnérables. Bien que certaines distributions aient été vérifiées, il est probable que d'autres distributions Linux soient également affectées par cette faille de sécurité.

Qualys a déclaré qu'une analyse plus approfondie de la glibc a découvert deux autres failles dans la fonction vsyslog_internal() CVE-2023-6779 et CVE-2023-6780. La deuxième vulnérabilité, CVE-2023-6780, se trouve dans la fonction glibc qsort(). Cette vulnérabilité de corruption de mémoire provient d'un manque de vérification des limites lors de l'utilisation de qsort() avec une fonction de comparaison non transitive et d'un grand nombre d'éléments contrôlés par un attaquant. Bien qu'aucun exemple réel de programmes vulnérables n'ait été identifié, leur impact potentiel est important et affecte toutes les versions de la glibc depuis septembre 1992.

Concernant la divulgation des vulnérabilités, il est mentionné que l'équipe Qualys a contacté l'équipe de sécurité de la glibc concernant les failles le 12 décembre 2023, mais l'équipe a décidé de ne pas traiter la corruption de mémoire dans qsort() comme une vulnérabilité. Le 16 janvier 2024, TRU a pris en charge le commit b9390ba dans toutes les versions stables de la glibc et la date de sortie coordonnée a été fixée au 30 janvier 2023.

Les vulnérabilités identifiées dans les fonctions syslog et qsort de la glibc mettent en évidence un aspect critique de la sécurité logicielle : même les composants les plus fondamentaux et les plus fiables ne sont pas à l'abri des pannes.

Il est important de noter que seules les versions 2.36 et 2.37 de la glibc sont vulnérables, et les dernières versions incluent déjà le correctif qui résout cette vulnérabilité. Par conséquent, il est essentiel de mettre à jour vers les dernières versions pour protéger les systèmes concernés. Il est recommandé de vérifier la version de la bibliothèque glibc présente sur le système à l'aide de la commande suivante :

ldd --version

enfin si tu es intéressé à en savoir plus, vous pouvez vérifier les détails dans le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.