Passer au contenu

Une faille Linux rendue publique trop tôt

Mardi dernier, l’éditeur RedHat prévenait ses clients d’une importante faille de sécurité découverte dans le programme wu-FTPd. Et mettait dans l’embarras les autres éditeurs Linux dont les correctifs n’étaient pas prêts…

D’habitude, lorsqu’un trou de sécurité est découvert dans un programme Linux, les éditeurs des principales distributions se concertent et se donnent un peu de temps pour préparer les correctifs de sécurité. Ensuite seulement, ils préviennent leurs clients.Le 14 novembre dernier, la société de sécurité Core ST a alerté les éditeurs Linux d’une faille de sécurité commune à toutes les versions du programme wu-FTPd.
wu-FTPd est un serveur FTP de fichiers très populaire et présent dans la plupart des distributions Linux (RedHat, Mandrake, TurboLinux, Conectiva, SuSE, Caldera, etc.).Les éditeurs Linux décident de publier leurs alertes et leurs correctifs le 3 décembre, se laissant quinze jours pour préparer le remède. Mais, mardi dernier, RedHat prévient par erreur ses clients, plongeant les autres éditeurs dans l’embarras.” On a été pris par surprise quand RedHat a rendu le trou de sécurité public. Comme la plupart des autres éditeurs, notre correctif était prêt mais nous étions encore en phase de tests, commente Frédéric Bastok, directeur technique de MandrakeSoft. La correction d’un bug est une procédure assez longue car il faut vérifier que le correctif fonctionne avec toutes les distributions antérieures que nous avons éditées. “

Aucun cas d’attaque pirate signalé

La faille de sécurité consiste en un dépassement de mémoire tampon si l’utilisateur fournit au programme certains types de caractères en guise de paramètre. Théoriquement, un pirate peut gagner un accès racine (root) sur les serveurs utilisant wu-FTPd. A une condition : posséder un accès autorisé au serveur FTP. Mais, comme beaucoup d’entre eux fournissent des accès anonymes, cette condition est facile à remplir.Pourtant, Frédéric Bastok relativise la gravité du problème. “Cette faille est difficile à exploiter pour un pirate. Nous l’avons testée et nous ne sommes pas parvenus à l’utiliser la plupart du temps, observe-t-il. Quand une société nous signale un trou de sécurité, elle nous fournit avec les instructions permettant de l’exploiter mais ça ne marche pas à tous les coups. Je me souviens d’une faille dans devFS que nous n’avons jamais réussi à utiliser”Depuis sa version 8.0, la distribution Mandrake n’utilise plus le programme wu-FTPd. Les utilisateurs de versions antérieures peuvent consulter le site de la société pour obtenir des correctifs de sécurité.Les autres distributions Linux sont également sur le point de livrer leurs propres correctifs. Pour l’instant, aucun cas d’attaque pirate utilisant ce trou de sécurité na été signalé.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Antonin Billet