Prudence, une nouvelle faille de sécurité découverte sur Linux et BSD

Découverte et publiée jeudi dernier, une faille du pack serveur des distributions Linux et BSD était présente depuis mai 2016. Elle permettrait à des pirates d'augmenter leurs droits d'accès, mais des correctifs sont en cours.

Une énième faille de sécurité vient d’être découverte ce jeudi, concernant les distributions Linux et BSD. Mise en lumière et publiée dans la foulée, celle-ci devra rapidement être prise en compte par Infosec et la communauté de Linux, tant elle est susceptible de porter préjudice à un grand nombre d’utilisateurs.

La faille est située au cœur même du pack serveur X.org et des bases GNOME et KDE

Si cette faiblesse nécessite d’être prise au sérieux, c’est tout simplement du fait de sa localisation dans le programme, et de la portée potentielle que cela lui donne. En effet, la faille en question a été repérée directement dans le pack serveur X.org de la distribution, autant dire dans le cerveau du système.

Située au cœur des distributions Linux, elle fait également partie de la base originelle de GNOME et KDE, suites utilitaires d’interfaces de bureau, populaires au sein de cette communauté.

Une faiblesse qui datait de deux ans

Révélée tout récemment par le chercheur Narendra Shindre spécialisé dans la sécurité informatique, la faille était en réalité présente dans le pack serveur depuis mai 2016. Potentiellement, cela fait deux années durant lesquelles des hackers auraient pu l’exploiter en toute impunité.

En termes de conséquences, le chercheur affirme que les dégâts auraient pu être conséquents, puisque cette faiblesse offrait une porte pour pouvoir s’octroyer des privilèges au-delà d’un simple utilisateur, et par la suite accomplir des actions ou supprimer des fichiers présentes sur le système ciblé. Parmi ces données se trouvaient notamment des éléments vitaux du système d’exploitation.

Les mises à jour nécessaires à la résolution de cette faille sont en cours de développement. De son côté, le cofondateur Matthew Hickey de Hacker House précise « Un attaquant peut littéralement prendre le contrôle d’un système impacté avec 3 commandes ou moins. C’est hilarant comme c’est trivial ».