La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.

Fin du mystère : la faille à l'origine du piratage de quatre serveurs du Projet Debian se cache dans un appel de fonction. Il s'agit en réalité d'un dépassement d'entier (lorsqu'un nombre stocké par le programme est beaucoup plus important que prévu) dans l'appel système brk. En exploitant cette faiblesse, n'importe quel programme non-privilégié (en userland) peut accéder à l'ensemble de l'espace mémoire, y compris celui réservé au noyau. A partir de là, il est relativement simple de prendre le contrôle du serveur : c'est ce qu'il s'est passé avec les deux premières machines du Projet Debian.

L'équipe chargée de l'enquête a pu reconstituer l'un des exécutables utilisés par les pirates pour mettre en oeuvre cette attaque. Après déchiffrement (il était protégé par Burneye, de TESO, un outil de chiffrement des exécutables Linux très efficace), le code a été analysé en commun par les équipes sécurité de Red Hat et SuSE, qui ont mis à jour la méthode d'attaque contre l'appel brk. Cette faille est connue depuis le mois de septembre, mais la version corrigée de l'appel incriminé n'avait pu être ajoutée à temps dans le noyau 2.4.22. C'est chose faite aujourd'hui, et il vivement conseillé de mettre le noyau à jour.

Advisory FR : Linux Kernel "do_brk()" Privilege Escalation Vulnerability
Annonce Debian : [DSA-403-1] userland can access Linux kernel memory
 

Source : LesNouvelles