Faille Looney Tunables : devenez root sur la majorité des distribs Linux !
La bibliothèque C du projet GNU est affectée par une nouvelle faille de sécurité baptisée "Looney Tunables" ! En l'exploitant, un attaquant en local peut élever ses privilèges afin d'obtenir les droits "root" sur la machine Linux ! Voici ce qu'il faut savoir.
La majorité des distributions basées sur un noyau Linux embarquent la bibliothèque C du projet GNU, associée au "glibc". Elle fournit des fonctionnalités essentielles au système d'exploitation, notamment pour les appels système.
Associée à la référence CVE-2023-4911, cette faille de sécurité a été découverte par les chercheurs en sécurité de chez Qualys. Dans leur rapport, il est précisé que cette faille de sécurité a été introduite dans la bibliothèque glibc en avril 2021 (dans glibc 2.34).
De type buffer overflow, cette vulnérabilité se situe dans le chargeur dynamique ld.so de la bibliothèque glibc lors du traitement de la variable d'environnement GLIBC_TUNABLES. Un attaquant connecté à la machine Linux avec un utilisateur standard (faible niveau de privilèges) peut devenir root et avoir un accès total à la machine en élevant ses privilèges grâce à cette vulnérabilité.
Looney Tunables : quelles sont les distributions affectées ?
La faille de sécurité Looney Tunables est à prendre au sérieux, car elle affecte les distributions les plus populaires : Debian, Ubuntu, Fedora, Red Hat Enterprise Linux, etc... "Nous avons identifié et exploité avec succès cette vulnérabilité (une élévation de privilèges locale qui permet d'obtenir les privilèges root) sur les installations par défaut de Fedora 37 et 38, Ubuntu 22.04 et 23.04, et Debian 12 et 13.", peut-on lire dans le rapport de Qualys. Il va falloir se référer au bulletin de sécurité de chaque distribution pour suivre l'évolution.
Sinon, de son côté, Alpine Linux n'est pas affecté par cette faille de sécurité car cette distribution utilise la bibliothèque musl libc.
Bien que le code d'exploitation de Qualys ne soit pas accessible publiquement pour le moment, cette faille de sécurité serait simple à exploiter. Dans un avenir proche, cette vulnérabilité pourrait être exploitée : "Cela pourrait mettre en danger d'innombrables systèmes, notamment en raison de l'utilisation intensive de la glibc dans les distributions Linux.", précise Qualys.
Il ne reste plus qu'à patcher...
Bonjour,
Au risque de poser une question stupide, mais je ne vois pas d’éléments qui me permettent d’en être sûr : à partir de quelle version la lib a t’elle été corrigée ?
Là, je vois que sur nos debian 12, elle est passée en version 2.36, est-ce qu’à partir de là on peut s’estimer « couverts » ?
Merci par avance
J’ai trouvé ma réponse entre temps (sur debian security) :
– Sur debian 12 la version corrigée est la 2.36-9+deb12u3
– Sur debian 11 la version corrigée est la 2.31-13+deb11u7
dispos sur les dépots dans les 2 cas 🙂
(Tiens ? Mon dernier comm n’est pas passé, manifestement 🤔 je disais donc …)
J’ai eu ma réponse entre temps (merci Debian Security)
Les patchs sont donc bien dispos pour Debian 12 et Debian 11, respectivement en version 2.36-9+deb12u3 et 2.31-13+deb11u7
Hello Loiseau2nuit,
Tout vos commentaires sont bien passés (approbation par mes soins).
Merci d’avoir apporté la précision pour Debian, top !! 🙂