Faille critique dans Linux découverte

[Invité]

Des experts de chez Google et Red Hat ont découvert une faille critique de sécurité dans une des librairies de base de Linux, à savoir GNU C Library (glibc) (la librairie contenant les headers du langage C) et ont trouvé qu'un overflow d'un tampon de mémoire dans une fonction relative à la résolution DNS (getaddrinfo()) pourrait entrainer l'exécution de code malintentionné. En effet, lorsque le système effectue une requête DNS, un attaquant pourrait utiliser cette faille pour renvoyer une réponse piégée permettant l’exécution de code malveillant. En d’autres termes, cette faille permet de pirater les machines Linux à distance.

Heureusement, un patch est disponible et il est d’ores et déjà implémenté dans une série de distributions telles que Red Hat, Ubuntu ou Debian. Reste, comme toujours, le problème des objets connectés qui s’appuient très souvent sur un Linux pour fonctionner. Il n’y pas d’autres solutions que d’attendre la mise à disposition d’une mise à jour du firmware.

Et même si votre appareil sous Linux effectue des requêtes DNS, encore faut-il qu’elles atterrissent sur une machine contrôlée par l’adversaire. Autre possibilité : l’attaquant dispose d’un accès au réseau (Wi-Fi par exemple) et intercepte la requête pour renvoyer sa réponse piégée. Dans les deux cas, ce n’est pas forcément évident à réaliser. Pour les particuliers, le risque est donc globalement assez limité.

(source: 01.net)

[Minstery]

Oh j'espère que mon iut va penser à bien mettre les patchs ! Merci de l'info !
Heureusement qu'ils ont trouvé cette faille !