Une nouvelle faille de sécurité affecte les systèmes Linux et BSD

Bogue Xorg

Ça fait quelques jours Une erreur trouvée avec le serveur X.Org a été publiée, mettant en danger la sécurité des systèmes Linux et BSD.

Le personnel de ZDNet a été celui qui a fait l'avertissement d'une nouvelle faille de sécurité dans le X.Org qui permettait à un attaquant d'obtenir un accès limité au système.

À propos du défaut trouvé

Le défaut détecté est dans le serveur X.Org cela permettait à l'envahisseur d'avoir un accès limité au système qui pouvait être via un terminal localement ou dans une session SSH à distance, réussissant ainsi à modifier les autorisations et à atteindre le mode racine.

La vulnérabilité trouvée Il ne fait pas partie de la catégorie des pannes de type «dangereux» Et ce n'est pas non plus un problème qui peut inquiéter des ordinateurs haute sécurité bien planifiés.

Mais cette petite faille bien utilisée par un attaquant qui a suffisamment de connaissances peut rapidement transformer quelque chose qui n'a pas à craindre une terrible invasion, dit Catalin Cimpanu.

Il ne peut pas être utilisé pour pénétrer des ordinateurs sécurisés, mais il reste utile pour les attaquants car il peut rapidement transformer de simples intrusions en pirouettes erronées.

Alors que la vulnérabilité ne pouvait être ignorée par les communautés Linux et infosec, qui une fois que son existence de cette faille de sécurité a été rendue publique jeudi dernier, ont commencé à travailler sur le correctif.

La panne avait déjà été détectée il y a des années

Un consultant en sécurité entendu par ZDNet, Narendra Shinde, a averti que Cette faille a été signalée dans leur rapport de mai 2016 et que le package X.Org Server contient cette vulnérabilité ce qui pourrait donner aux attaquants des privilèges root et modifier n'importe quel fichier, même les plus cruciaux pour le système d'exploitation.

Cette vulnérabilité a été identifié comme CVE-2018-14665 et on y voyait ce qui aurait pu causer une telle erreur.

Une mauvaise gestion de deux lignes de code, à savoir les lignes "-logfile" et "-modulepath", aurait permis aux envahisseurs d'insérer leur code malveillant.

Ce bogue est analysé lorsque X.Org Server est exécuté avec les privilèges root, ce qui est courant sur de nombreuses distributions.

Distributions affectées

Les Les développeurs de la Fondation X.Org planifient déjà une nouvelle solution pour X.Org version 1.20.3 et résolvez ainsi ces problèmes causés par ces deux lignes.

Distributions comme Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu et OpenBSD ont déjà été confirmés comme étant affectés, bien que d'autres petits projets soient également touchés.

Les mises à jour de sécurité contenues dans le package sont destinées à corriger la vulnérabilité du serveur X.Org qui devrait être déployée dans les heures ou les prochains jours.

En outre, dans Linux Mint et Ubuntu, le correctif a déjà été publié et confirmé, il vous suffit de mettre à jour le systèmeAlors que les autres distributions ne savent toujours pas si elles ont l'intention de publier le correctif ou d'attendre celui publié par le groupe de développement X.Org.

"Un attaquant peut littéralement prendre le contrôle des systèmes affectés avec 3 commandes ou moins", a déclaré Hickey sur Twitter. «Il existe de nombreuses autres façons d'exploiter, par exemple crontab. C'est drôle comme c'est trivial.

Cela montre que Linux et BSD ne sont pas des systèmes totalement sécurisés, mais ce sont des alternatives solides et sécurisées par rapport aux systèmes Windows.

Enfin C'est pourquoi des problèmes comme celui-ci sur X.org et d'autres qui ont été connus il y a longtemps démontrent une fois de plus l'importance du développement actif d'alternatives comme Wayland.

Étant donné que X.org est un protocole assez ancien et qu'il doit être remplacé maintenant, même si malheureusement, même si nous avons des alternatives comme Wayland ou Mir, celles-ci ne sont pas assez solides pour offrir une utilisation à tous.

Ces alternatives sont déjà dans certaines distributions Linux et ont été testées, bien que dans certaines d'entre elles cela n'ait pas fonctionné comme prévu (c'est le cas d'Ubuntu avec Wayland). Ces alternatives à X.org ont encore un long chemin à parcourir avant que l'une d'entre elles ne devienne un standard sous Linux.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.