Lorsqu'un projet partage un article sur un compte officiel et qu'il ne provient pas de son propre blog, il se passe quelque chose. Et non, ce n'était pas pour se faire choper, mais pour informer la communauté. Ce compartiment par Fedora parle d'un bogue appelé PwnKit, et affecte plusieurs des distributions Linux les plus utilisées. Fedora est sur la liste, que beaucoup considèrent comme le meilleur exemple quand on veut parler d'une distribution avec GNOME, mais aussi de deux autres qui démangent un peu plus.
Nous n'allons pas entrer dans l'option qui est la meilleure, mais Debian et Ubuntu font également partie des personnes concernées permet d'affirmer que la majorité des utilisateurs de Linux seraient exposés à PwnKit. Il existe de nombreuses distributions basées sur Debian, et beaucoup d'autres le font déjà sur Ubuntu, comme Linux Mint. La liste de ceux directement mentionnés serait fermée par CentOS et Red Hat, mais le reste d'entre nous ne devrait pas cesser de s'inquiéter.
PwnKit expose la plupart des utilisateurs de Linux
La vulnérabilité est identifiée comme CVE-2021-4034 (ici ! informations de Canonical) et est dans le composant pkexec de Polkit, qui est le paramètre par défaut pour la plupart des distributions Linux. Bien qu'il existe depuis plus d'une décennie, il a été publié hier, le 25 janvier, et le patch arrive bientôt pour ceux qui ne l'ont pas encore reçu. Le pire est ce que l'utilisateur malveillant peut faire grâce à PwnKit : obtenir les privilèges super utilisateur ou root.
Ubuntu et Red Hat ont déjà publié un correctif pour corriger la vulnérabilité dans les dernières versions, et le reste des distributions les plus populaires devrait le faire bientôt. Considérant que les correctifs de ce type sont de petites mises à jour, il est également il est possible que notre distribution Linux l'ait déjà patché sans que nous nous en rendions compte, mais l'important ici est de rappeler quelque chose que nous devons prendre en compte : cela vaut la peine d'avoir n'importe quel système d'exploitation à jour, et surtout d'appliquer les mises à jour de sécurité.