Vulnérabilité RCE critique non authentifiée (CVSS 9.9) dans les systèmes GNU/Linux

26 Sep 2024 à 09:53 par larevuegeek - 526 vues - 0 com.

Informatique OS Linux Tech

Une vulnérabilité de sécurité critique a été découverte dans les systèmes GNU/Linux, permettant une exécution de code à distance (RCE) sans authentification. Cette faille, identifiée par le chercheur en sécurité Simone Margaritelli, a été évaluée avec un score de 9,9 sur 10 dans le système de notation CVSS (Common Vulnerability Scoring System), confirmant ainsi sa gravité.

Cette vulnérabilité concerne potentiellement tous les systèmes GNU/Linux, bien que les détails spécifiques sur les composants et versions affectés n'aient pas encore été divulgués. Les grandes distributions telles que celles maintenues par Canonical (Ubuntu) et Red Hat ont reconnu le problème et travaillent activement à l'évaluation de son impact et au développement de correctifs. Cependant, aucun patch n’est disponible à ce jour.

Margaritelli a signalé cette vulnérabilité il y a environ trois semaines, mais les détails techniques ont été temporairement retenus pour permettre aux développeurs de travailler sur une solution. Un calendrier de divulgation a été établi :

30 septembre 2024 : Divulgation initiale à la liste de diffusion de sécurité Openwall.
6 octobre 2024 : Divulgation complète des détails de la vulnérabilité.

Aucun identifiant CVE pour l'instant

Un fait notable est le retard dans l’attribution des identifiants CVE (Common Vulnerabilities and Exposures), généralement utilisés pour suivre et référencer les vulnérabilités. Margaritelli a estimé qu’au moins trois CVE devraient être attribués à cette faille, en raison de sa nature complexe et de ses multiples vecteurs d’attaque potentiels.

Si la gravité de cette vulnérabilité est indéniable, certains développeurs discutent encore de l’impact de certaines de ses composantes, ce qui pourrait expliquer le délai dans la publication d’un correctif. Le débat porte notamment sur la manière dont certaines parties de la vulnérabilité pourraient être exploitées et sur les mesures d’atténuation possibles.

Ce que les utilisateurs peuvent faire en attendant

En attendant la divulgation complète et la disponibilité des correctifs, les utilisateurs et administrateurs de systèmes GNU/Linux sont encouragés à :

Rester informés : Suivez les annonces officielles des éditeurs (Canonical, Red Hat, etc.) et consultez régulièrement les sources fiables de sécurité pour des mises à jour.
Renforcer la sécurité : Passez en revue et améliorez les mesures de protection existantes, telles que la configuration des pare-feu et des systèmes de détection d'intrusions.
Préparer les déploiements rapides : Anticipez la publication des correctifs et préparez-vous à les appliquer dès leur disponibilité pour limiter le risque d’exploitation.

Il nous reste à voir si cette faille sera rapidement colmater, de quoi dormir sur nos 2 oreilles...enfin jusqu'à la prochaine faille découverte ! 😅