Selon l’avis du NIST, CVE-2019-1181 concerne un accès concurrent affectant le noyau rds_tcp_kill_sock dans net/rds/tcp.c “menant ainsi à une utilisation de type use-after-free, liée au nettoyage du namespace au niveau du net”.
La partie liée aux RDS fait référence aux systèmes utilisant le protocole Reliable Datagram Sockets (RDS) pour le module TCP, signifiant ainsi que seuls les systèmes exécutant des applications utilisant ce protocole sont concernés.
Ce qui attire l’attention ici, c’est le fait que des systèmes non corrigés peuvent être compromis à distance et victime d’attaque par déni de service, et ce sans nécessiter de privilèges système ni d’interaction avec l’utilisateur.
D’autre part, la complexité de l’attaque est décrite comme “élevée”, ainsi toute attaque de ce type devra être lancée à partir du réseau local. Cela explique pourquoi on lui a attribué un score d’impact CVSS 3.0 de 5,9 avec un score d’exploitabilité de seulement 2,2.
Nous avons quelques indices sur la complexité requise pour une telle exploitation dans les commentaires ajoutés à l’avis de Red Hat, qui indique que l’attaquant doit “manipuler l’état du socket pendant la destruction d’un namespace réseau”. Donc, cette attaque n’est pas vraiment d’une grande simplicité à priori.
Seth Arnold d’Ubuntu a ajouté :
Je n’ai pas encore vu de preuves permettant d’appuyer les allégations d’exploitation à distance. Le blacklisting du module rds.ko est probablement suffisant pour empêcher le chargement du code vulnérable.
Découverte plus tôt cette année, cette faille de sécurité Linux a été corrigée dans la version 5.0.8, parue le mois dernier. Vous trouverez plus d’informations concernant les conséquences sur chaque distribution dans les avis émis par Red Hat, Ubuntu, Debian et SUSE.
Comme avec n’importe quel système d’exploitation, Linux et ses nombreux modules rencontrent ce type de problèmes de temps en temps. En janvier, trois failles ont été découvertes dans SystemD, le gestionnaire de système contesté, qui n’a pas été aidé par la publication, par une entreprise appelée Capsule8, du code permettant de les exploiter.
Plus récemment, CVE-2019-5736 est apparue, une faille dans un élément appelé runC utilisé par des logiciels tels que Docker, Kubernetes, cri-o et containerd.
Billet inspiré de Severe Linux kernel flaw found in RDS, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.