Une faille de sécurité sur Linux menace l'équipe du projet Debian

Par 03 décembre 2003
Mots-clés : Smart city

Si Microsoft a fait couler beaucoup d'encre ces derniers mois à propos des failles de sécurité de ses produits, c'est aujourd'hui au tour du système d'exploitation Linux de se faire remarquer sur ...

Si Microsoft a fait couler beaucoup d’encre ces derniers mois à propos des failles de sécurité de ses produits, c’est aujourd’hui au tour du système d’exploitation Linux de se faire remarquer sur ce même sujet. Une faille de sécurité critique permettrait à celui qui l’exploite de modifier ses privilèges à son profit. Affectant toutes les versions 2.4.22 et inférieures, ainsi que la branche 2.6 jusqu’à la « test6 », cette faille permet à une personne malintentionnée d’accéder à toute la mémoire d’un système.

La fonction ‘do_brk()’ échoue lorsqu’elle vérifie ses limites, permettant à l’utilisateur non autorisé de créer un important espace de mémoire virtuelle. L’équipe du projet Debian, responsable du développement de la distribution GNU/Linux a été la première à en faire les frais. Un utilisateur s’est introduit sur quatre de ses serveurs, le 19 novembre dernier, en interceptant tout d’abord l’identifiant et le mot de passe de l’un des développeurs du projet. A l’aide d’un simple outil enregistrant ce que le développeur saisissait sur son clavier, le contrevenant a pu profiter des privilèges d’accès procurés par sa nouvelle « identité ».

La faille de sécurité avait pourtant été découverte par un développeur en septembre dernier, mais les distributeurs ont retardé la sortie d’un correctif pour apporter une réponse coordonnée. Celui-ci est aujourd’hui disponible pour les versions de Debian, Red Hat et Mandrake, et les utilisateurs de versions de noyau antérieures à la 2.4.23 sont invités à les appliquer le plus rapidement possible.

( Atelier groupe BNP Paribas – 03/12/2003)

Mentions légales © L’Atelier BNP Paribas