Le projet zéro de Google révèle des failles dans le noyau Linux de CentOS
Le projet zéro de Google révèle des failles dans le noyau Linux CentOS après avoir omis de publier des correctifs avant l'expiration du délai de 90 jours.
Le projet zéro de Google est une équipe de sécurité chargée d'identifier les failles de sécurité dans les produits de Google, mais aussi dans les logiciels créés par d'autres fournisseurs. Une fois les problèmes détectés, ils sont signalés en privé aux fournisseurs, qui disposent de 90 jours pour les corriger avant qu'ils ne soient rendus publics.
En fonction de la complexité de la solution, un délai de grâce de 14 jours peut également être accordé dans certains cas.
Découverte de vulnérabilités dans le noyau de CentOS
Comme l'explique ce document technique, Jann Horn, chercheur en sécurité au sein du Google Project Zero, a découvert que les correctifs apportés aux arbres stables du noyau n'étaient pas rétroportés dans de nombreuses versions d'entreprise de Linux.
Pour le vérifier, Horn a comparé les noyaux CentOS stream 9 à l'arbre stable linux-5.15.y. Pour ceux qui l'ignorent, CentOS est une distribution Linux très proche de Red Hat Enterprise Linux (RHEL), et sa version est basée sur la version linux-5.14.
Comme prévu, il a été découvert que diverses modifications du noyau n'avaient pas été mises en œuvre dans des versions plus anciennes, mais toujours prises en charge, de CentOS Stream/RHEL. M. Horn a ajouté que le Project Zero avait fixé un délai de 90 jours pour la publication d'un correctif dans ce cas. Toutefois, à l'avenir, des délais plus stricts pourraient être imposés pour les backports manquants.
Les trois bogues signalés par Horn ont été approuvés par Red Hat et des numéros CVE leur ont été attribués. Néanmoins, l'entreprise n'a pas résolu ces problèmes dans les 90 jours, et c'est pourquoi Google Product Zero divulgue ces vulnérabilités.
Détails des vulnérabilités
Une vulnérabilité de type "use-after-free" a été détectée dans qdisc_graft situé dans net/sched/sch_api.c au sein du noyau Linux, résultant d'un problème de race condition. Cette vulnérabilité entraîne un déni de service.
Une vulnérabilité de type "use-after-free" a été découverte dans le système de fichiers Ext4 du noyau Linux. Cette faille permet à un utilisateur local de provoquer un crash du système ou d'élever ses privilèges. Elle n'est éventuellement déclenchée que lorsqu'un système de fichiers Ext4 est monté.
Le sous-système de vidage du noyau Linux contient une vulnérabilité de type "use-after-free" qui peut provoquer un plantage du système. La gravité de cette faille est considérée comme faible, car il est difficile pour un attaquant de l'exécuter. En effet, l'attaquant doit exécuter deux fois le code vulnérable pour exploiter la faille.
CentOS vise à fournir une alternative stable, sûre et gratuite aux systèmes d'exploitation commerciaux tels que Red Hat Enterprise Linux (RHEL). Il a été largement utilisé par des organisations et des particuliers dans le monde entier, y compris par diverses entreprises et agences gouvernementales.
Les découvertes de vulnérabilités dans le noyau CentOS sont donc une source d'inquiétude. Il reste à voir si Red Hat subira des pressions pour corriger ces problèmes de sécurité aussi rapidement que possible, maintenant que les détails de ces vulnérabilités dans les noyaux Linux sont publics.
Corrections du noyau de CentOS
La communauté CentOS doit agir de toute urgence pour remédier à ces vulnérabilités et éviter qu'elles ne soient exploitées davantage. Cela implique de publier des correctifs pour les vulnérabilités au plus tôt et d'adopter des mesures pour améliorer la rapidité et l'efficacité du processus d'application des correctifs à l'avenir.
L'une des meilleures méthodes de correction du noyau est KernelCare Enterprise de TuxCare, qui a également reçu un prix d'or dans la catégorie Automatisation de la sécurité lors des 2023 Cybersecurity Excellence Awards. KernelCare Enterprise fournit automatiquement les derniers correctifs CVE sur toutes les distributions Linux courantes sans avoir à redémarrer le noyau. Votre équipe n'a donc jamais besoin de redémarrer les systèmes ou d'attendre les fenêtres de maintenance programmées pour appliquer un correctif de vulnérabilité.
Pour savoir comment KernelCare déploie les correctifs de vulnérabilité, consultez le processus de correctif en direct.
Conclusion
L'identification de vulnérabilités dans le noyau Linux CentOS est un signal d'alarme pour la communauté des logiciels libres. Elle souligne l'importance d'une approche collaborative et concentrée pour identifier et résoudre les vulnérabilités rapidement et efficacement. En outre, il est essentiel que d'autres projets de logiciels libres tirent les leçons de cet incident et établissent des procédures solides pour traiter les vulnérabilités et fournir des correctifs en temps utile.
Les sources de cet article comprennent un article de Neowin.