Les versions et distributions Linux et BSD qui utilisent le paquet X.Org Server - presque toutes le font - sont vulnérables à une nouvelle faille dévoilée jeudi. La vulnérabilité permet à un attaquant ayant un accès limité à un système, via un terminal ou une session SSH, d'augmenter ses privilèges et d'obtenir un accès root.





Si la vulnérabilité n'est pas catégorisée dans la catégorie critique, la faille de sécurité ne peut être ignorée par les communautés Linux et infosec. Surtout depuis sa publication hier jeudi.



La raison en est l'endroit où elle a été trouvé dans - à savoir le pack serveur X.Org - soit une technologie graphique et de fenêtrage basique qui est le ciment des célèbres suites d'interface de bureau KDE et GNOME. Elle se trouve donc dans toutes les principales distributions Linux et BSD qui proposent une interface graphique basée sur un système de fenêtrage.

publicité

Mauvaise manipulation de deux options de ligne de commande



Un document rédigé par le chercheur en sécurité Narendra Shinde indique que le paquet X.Org Server contient depuis mai 2016 une vulnérabilité qui permet aux pirates d'augmenter les privilèges et/ou d'écraser tout fichier sur le système local, même les données critiques au fonctionnement du système d'exploitation



Le problème, suivi désormais sous l’appellation CVE-2018-14665, est causé par une mauvaise manipulation de deux options de ligne de commande, à savoir -logfile et -modulepath, qui permet à un attaquant d'insérer et d'exécuter ses propres opérations malveillantes. La faille n'est exploitable que lorsque X.Org Server est configuré pour s'exécuter avec les privilèges root. Problème : c'est une configuration courante pour de nombreuses distributions.



Les développeurs de la Fondation X.Org ont publié X.Org Server 1.20.3 pour corriger ce problème. Le correctif désactive le support de ces deux arguments de ligne de commande si le paquet X.Org Server fonctionne avec les privilèges root.



Des distributions comme Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, et OpenBSD sont touchées par la faille. D'autres distributions également à n'en pas douter. Les mises à jour de sécurité qui contiennent le paquet X.Org Server corrigé devraient être déployées dans les heures et les jours qui viennent.



Matthew Hickey, cofondateur et directeur de Hacker House, une société de cybersécurité basée au Royaume-Uni, a également publié aujourd'hui un code de preuve de concept. "Un attaquant peut littéralement prendre le contrôle d'un système impacté avec 3 commandes ou moins," dit Hickey sur Twitter. "Beaucoup d'autres façons d'exploiter existent, par exemple crontab. C'est hilarant comme c'est trivial."