Un clbre chercheur en cyberscurit a rvl une vulnrabilit RCE non authentifie contre tous les systmes GNU/Linux (et d’autres). Mais la vulnrabilit n’a toujours pas de CVE assign, ni de correctif fonctionnel. Des organisations comme Canonical, RedHat et d’autres ont confirm la svrit de la faille, qui est de 9.9. Si les dveloppeurs se disputent encore pour savoir si certains problmes ont un impact sur la scurit, la divulgation complte de la faille aura lieu en octobre 2024.
Une faille de scurit critique affectant tous les systmes GNU/Linux – et potentiellement d’autres – a t identifie par le clbre chercheur en scurit Simone Margaritelli. La vulnrabilit, qui permet une excution de code distance non authentifie (RCE), a t reconnue par des acteurs majeurs de l’industrie tels que Canonical et Red Hat, qui ont confirm sa gravit avec un score CVSS de 9,9 sur 10.
Depuis le dbut du mois de septembre 2024, Simone Margaritelli a rvl l’existence d’une vulnrabilit RCE non authentifie (CVSS 9.9) dans les systmes GNU/Linux sans donn de dtails prcis afin de laisser aux dveloppeurs le temps de rsoudre le problme. Malgr cela, aucun correctif n’est actuellement disponible. Les discussions entre le chercheur et les dveloppeurs ont permis de convenir d’un calendrier de divulgation :
- 30 septembre : divulgation initiale la liste de diffusion sur la scurit d’Openwall.
- 6 octobre : divulgation publique complte des dtails de la vulnrabilit.
Il est intressant de noter que l’attribution d’identifiants CVE (Common Vulnerabilities and Exposures) ce problme a t retarde. Simone Margaritelli estime qu’au moins trois CVE devraient tre attribus, voire jusqu’ six, en raison de la nature multi-dimensionnelle des vulnrabilits concernes.
Canonical et Red Hat ont non seulement confirm la gravit de la vulnrabilit, mais travaillent galement activement l’valuation de son impact et au dveloppement de correctifs. Cependant, certains dveloppeurs seraient en train de dbattre de l’impact sur la scurit de certains aspects des vulnrabilits, ce qui pourrait contribuer retarder la publication d’un correctif.
Le manque d’informations dtailles a plong les utilisateurs individuels et les experts en scurit dans un tat d’inquitude accru. Sans savoir quels composants, fonctions ou versions spcifiques sont affects, les organisations ne sont pas en mesure de prendre des mesures proactives pour protger leurs systmes. En outre, l’absence d’assignations CVE soulve des questions sur la coordination et la communication entre les chercheurs en scurit, les fournisseurs et les organisations responsables de l’numration des vulnrabilits.
Bien qu’un score CVSS de 9,9 indique une svrit critique, il est important d’aborder la situation avec une perspective quilibre. Toutes les vulnrabilits de gravit leve ne sont pas facilement exploitables dans le monde rel. Par exemple :
- CVE-2024-7589 : Une vulnrabilit d’excution de code distance SSH initialement value 9,8 a ensuite t rvalue 8,1 en raison de la difficult d’exploitation.
- CVE-2024-38063 : Une vulnrabilit d’excution de code distance du systme Windows avec un score CVSS de 9,8 a attir l’attention, mais a t juge trs difficile exploiter aprs une analyse approfondie par des experts en scurit.
Ces exemples soulignent l’importance d’une analyse technique dtaille pour comprendre pleinement l’impact d’une vulnrabilit.
Dans l’attente de la divulgation complte et des correctifs ultrieurs, les utilisateurs et les administrateurs devraient :
- Rester informs en suivant les mises jour provenant de sources d’information fiables sur la scurit et les communications officielles des fournisseurs.
- Revoir et amliorer les mesures de scurit existantes, telles que les pare-feu et les systmes de dtection d’intrusion.
- Se prparer un dploiement rapide des correctifs ds qu’ils seront disponibles.
Voici les dclarations de Simone Margaritelli concernant la vulnrabilit :
J’ai pass les 3 dernires semaines de mon cong sabbatique travailler plein temps sur cette recherche, ce rapport, cette coordination, etc. dans le seul but d’aider et je n’ai eu droit qu’ de la condescendance parce que les dveloppeurs ne peuvent tout simplement pas accepter que leur code est merdique – divulgation responsable : c’est fini.
L’article va tre amusant, pas seulement pour les dtails techniques, pas seulement parce que ce RCE tait l depuis plus d’une dcennie, mais aussi comme un exemple de la faon dont il ne faut PAS grer les divulgations.
J’cris des logiciels, je comprends, je comprends que quelqu’un puisse tre sur la dfensive propos de ce qu’il crit, je le comprends vraiment. Mais bon sang, si votre logiciel fonctionne sur tout depuis 20 ans, vous avez la responsabilit d’assumer et de corriger vos bugs au lieu d’utiliser votre nergie expliquer au pauvre btard qui les a signals quel point il a tort, mme s’il vous donne littralement PoC aprs PoC et prouve systmatiquement que vos hypothses sur votre propre logiciel sont errones chaque commentaire. C’est tout simplement insens.
Je voulais juste ajouter, par souci de clart, que j’ai *trop de respect* pour les gens de Canonical qui ont essay d’aider et de servir de mdiateurs depuis le dbut, je ne sais vraiment pas comment ils font pour garder leur sang-froid comme a.
Ceci va tre la dclaration d’ouverture de l’article. C’est un commentaire rel de la conversation github. Je veux dire, ce n’est pas faux …
« Du point de vue de la scurit gnrique, un systme Linux complet tel qu’il est aujourd’hui n’est qu’un fouillis sans fin et sans espoir de failles de scurit attendant d’tre exploites.«
Et OUI : j’ADORE faire de la pub pour ce genre de choses parce qu’apparemment le sensationnalisme est le seul langage qui force ces gens rparer.
Source : Annonce de Simone Margaritelli
Et vous ?
Pensez-vous que cette dcouverte est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :