[INFO] Une faille critique au sein de la bibliothèque glibc affecte de nombreux systèmes Linux et logiciels

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la découverte d’une faille critique au sein de la bibliothèque glibc.

CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow

Recherche17 février 2016

Criticité
Haute
Dommage(s)
Déni de service
Accès au système
Plateforme(s)
Mac OS X
Linux
Unix
Exploitation
Distante
Description
Des chercheurs ont découvert une vulnérabilité au sein de la bibliothèque glibc permettant d’exécuter du code à distance. Glibc est la bibliothèque C de base de toutes les distributions Linux.Un dépassement de mémoire tampon (buffer overflow) dans la pile glibc du résolveur DNS côté client (fonction getaddrinfo) affecte les systèmes Linux, qui sont vulnérables à l’exécution de code à distance. Cette faille, référencée CVE-2015-7547, avait initialement été reportée en juillet 2015.Des ingénieurs de Google et de Red Hat ont indépendamment découvert la vulnérabilité et ont conjointement contribué au développement du correctif. Google aurait également développé un code d’exploitation non public. Une preuve de concept disponible à l’adresse suivante a été publiée afin d’aider les utilisateurs à déterminer s’ils sont affectés : https://www.exploit-db.com/exploits/39454/Les systèmes Linux et logiciels utilisant cette fonction pourraient être exploités à distance par un attaquant en position d’interception du trafic entre le client et le serveur (attaque de type Man-In-The-Middle) ou par un attaquant contrôlant des noms de domaines ou les serveurs DNS interrogés.

Toutes les versions de glibc à partir de la version 2.9 (datant de mai 2008) sont vulnérables et par conséquent, les logiciels compilés en statique avec une version de glibc affectée sont donc potentiellement également vulnérables. Seuls la recompilation de la glibc et des programmes intégrant une version statique de cette bibliothèque permetta de corriger la faille. La correction de cette vulnérabilité s’avère donc plus compliquée pour les firmwares des équipements réseau tels que les routeurs ou les logiciels embarqués.

En attendant l’application du correctif, une solution de contournement a été publiée. La vulnérabilité reposant sur des réponses TCP et UDP surdimensionnées, la solution consiste à limiter la taille des réponses acceptées par le résolveur DNS. Un serveur DNS tel que DnsMasq permet de configurer ce type de paramètre.

Vulnérable(s)
Systèmes et programme reposant sur l’utilisation de la fonction « getaddrinfo » de la Glibc (>= 2.9)
Non vulnérable(s)
Aucun
Recommandation
Les éditeurs de distribution Linux publient peu à peu les correctifs pour la Glibc, protégeant ainsi la majeure partie des systèmes.
Référence(s)
http://www.securityweek.com/remote-code-execution-flaw-patched-glibc-library
http://www.developpez.com/actu/96101/Une-autre-faille-critique-de-securite-a-ete-decouverte-dans-glibc-et-rend-les-machines-sous-Linux-vulnerables-a-l-execution-d-un-code-a-distance/
https://googleonlinesecurity.blogspot.fr/2016/02/cve-2015-7547-glibc-getaddrinfo-stack.html
Référence(s) CVE CVE-2015-7547
Référence CERT-XMCO CXN-2016-0528

Adrien Guinault

Découvrir d'autres articles