Une vulnrabilit du noyau Linux avec un score CVSS de 10 a t dcouverte dans le serveur SMB, donnant un utilisateur non authentifi la possibilit d’excuter le code distance. Elle permet des attaquants distants d’excuter du code arbitraire sur les installations affectes. L’authentification n’est pas ncessaire pour exploiter cette vulnrabilit, mais seuls les systmes avec ksmbd activ sont vulnrables. La faille spcifique existe dans le traitement des commandes SMB2_TREE_DISCONNECT. Le problme rsulte de l’absence de validation de l’existence d’un objet avant d’effectuer des oprations sur cet objet. Un attaquant peut tirer parti de cette vulnrabilit pour excuter du code dans le contexte du noyau. Linux a publi une mise jour pour corriger cette vulnrabilit.
Le systme CVSS (Common Vulnerability Scoring System), norme publie utilise par des organisations du monde entier, permet de saisir les principales caractristiques d’une vulnrabilit et de produire un score numrique refltant sa gravit. Ce score numrique peut ensuite tre traduit en une reprsentation qualitative (telle que faible, moyenne, leve et critique) afin d’aider les organisations valuer et hirarchiser correctement leurs processus de gestion des vulnrabilits.
Le CVSS se compose de trois groupes de mesures : Base, Temporel, et Environnemental. Les mtriques de base produisent un score allant de 0 10, qui peut ensuite tre modifi en notant les mtriques temporelles et environnementales. Alors, un score de 10 n’est pas du tout rassurant.
Lorsque le dmon serveur est lanc, il dmarre un thread forker (ksmbd/nom d’interface) au moment de l’initialisation et ouvre un port ddi 445 pour couter les demandes SMB. Chaque fois que de nouveaux clients font une demande, le thread forker accepte la connexion du client et cre un nouveau thread pour un canal de communication ddi entre le client et le serveur. Cela permet de traiter en parallle les demandes SMB (commandes) des clients et de permettre aux nouveaux clients d’tablir de nouvelles connexions.
Selon le type de demande SMB, chaque nouveau thread peut dcider de passer les commandes l’espace utilisateur (ksmbd.mountd), actuellement les commandes DCE/RPC sont identifies pour tre traites par l’espace utilisateur. Pour mieux utiliser le noyau linux, il a t choisi de traiter les commandes en tant que workitems et de les excuter dans les handlers des threads ksmbd-io kworker. Cela permet de multiplexer les gestionnaires car le noyau se charge d’initier des threads de travail supplmentaires si la charge augmente et vice versa, si la charge diminue, il dtruit les threads de travail supplmentaires.
ksmbd a dclench des signaux d’alarme chez certains utilisateurs qui discutaient de sa fusion l’anne dernire. SerNet, une socit informatique allemande qui propose sa propre version de Samba, a dclar dans un billet de blog que ksmbd tait impressionnant, mais qu’il semblait quelque peu immature. En outre, l’quipe Samba+ de SerNet a dclar dans un billet de blog que la valeur de l’ajout d’un serveur SMB l’espace noyau ne valait peut-tre pas le risque de tirer le dernier morceau de performance du matriel disponible.
Dveloppe par Samsung pour mettre en uvre SMB3 ct serveur avec des performances optimises et une empreinte plus petite, la vulnrabilit de ksmbd pourrait conduire une fuite de la mmoire d’un serveur SMB par un attaquant, similaire l’attaque Heartbleed.
Heureusement, si vous n’excutez pas le module ksmbd exprimental de Samsung, comme l’a dcrit le chercheur en scurit Shir Tamari sur Twitter, et que vous avez conserv Samba, vous tes parfaitement protg. ksmbd est nouveau ; la plupart des utilisateurs utilisent toujours Samba et ne sont pas affects. En gros, si vous n’excutez pas de serveurs SMB avec ksmbd, profitez de votre week-end , a dclar Tamari sur Twitter.
Selon la Zero-Day Initiative, qui a divulgu la vulnrabilit de ksmbd, la faille use-after-free existe dans le traitement des commandes SMB2_TREE_DISCONNECT. Selon ZDI, le problme est d au fait que ksmbd ne valide pas l’existence des objets avant d’effectuer des oprations sur ceux-ci. Pour ceux qui utilisent ksmbd, il existe une solution autre que le passage Samba : La mise jour vers la version 5.15.61 du noyau Linux, publie en aot, ou une version plus rcente.
Cette mise jour du noyau corrige galement quelques autres problmes dans ksmbd : une lecture hors limites pour SMB2_TREE_CONNECT, qui, selon la note de correction, pourrait permettre des demandes invalides de ne pas valider les messages, et une fuite de mmoire dans smb2_handle_negotiate entranant une libration incorrecte de la mmoire.
Meta reoit une amende de 725 millions de dollars pour l’affaire Cambridge Analytica
Les dtails de l’accord conclu par Meta dans le cadre des actions en justice intentes par des consommateurs son encontre en raison du scandale Cambridge Analytica, qui a t initialement dcid en aot, n’avaient pas t rvls, mais les documents dposs dans l’affaire cette semaine indiquent que le prix du mauvais comportement de Meta n’est que de 725 millions de dollars.
Seuls 25 % de cet argent iront aux 250 280 millions d’utilisateurs de Facebook inclus dans le groupe, ont dclar Reuters les avocats des plaignants. Nanmoins, les juristes estiment qu’il s’agit du plus important rglement de recours collectif en matire de confidentialit des donnes de l’histoire des tats-Unis et du montant le plus lev que Meta ait jamais eu payer pour rsoudre un litige.
Pour ceux qui ont oubli le scandale de la confidentialit des donnes de Facebook, Cambridge Analytica tait une socit de donnes employe par la campagne de Donald Trump en 2016. Dans le cadre de ses oprations de collecte de donnes, Cambridge Analytica a cr des applications Facebook qui collectaient les donnes de dizaines de millions d’utilisateurs leur insu. 725 millions de dollars peuvent galement sembler beaucoup d’argent, mais il ne faut pas oublier le contexte : le chiffre d’affaires de Meta pour le seul troisime trimestre de cette anne tait de 27,7 milliards de dollars.
Dans le document judiciaire dtaillant le rglement, les plaignants ont dclar que depuis le dpt de l’affaire, Facebook a cess de permettre des tiers d’accder aux donnes des utilisateurs par l’intermdiaire de leurs amis. La socit a galement renforc sa capacit restreindre et surveiller la manire dont les tiers acquirent et utilisent les informations des utilisateurs de Facebook, et aurait amlior ses mthodes pour informer les utilisateurs des informations que Facebook collecte et partage leur sujet. Selon le document judiciaire, l’accord entre Meta et les plaignants s’applique tous les utilisateurs de Facebook aux tats-Unis.
L’accord met en effet fin des plaintes d’utilisateurs de Facebook selon lesquelles l’entreprise a viol diverses lois fdrales et tatiques en laissant les dveloppeurs d’applications et les partenaires commerciaux rcolter leurs donnes personnelles sans leur consentement, et ce de manire gnralise. Les avocats des utilisateurs ont allgu que Facebook les avait induits en erreur en leur faisant croire qu’ils pouvaient garder le contrle de leurs donnes personnelles, alors qu’en fait, il laissait des milliers de personnes extrieures privilgies y avoir accs. Le rglement couvre environ 250 280 millions d’utilisateurs de Facebook.
Source: Zero day initiative
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :