Les correctifs sans redémarrage pour RHSA-2020:3861 sont en route

L'année dernière, une vulnérabilité CVE-2019-19126 a été découverte dans la glibc, où la variable d'environnement LD_PREFER_MAP_32BIT_EXEC n'est pas ignorée lors de l'exécution de binaires avec le drapeau setuid sur les architectures x86_64. Cela permet à un attaquant de forcer le système à n'utiliser que la moitié de la mémoire (en faisant croire au système que le logiciel est uniquement en 32 bits), réduisant ainsi la quantité de mémoire utilisée avec la randomisation de la disposition de l'espace d'adressage (ASLR). Cette semaine, une mise à jour de la glibc est devenue disponible pour Red Hat Enterprise Linux 7 de RHEL. Mais pour que la mise à jour prenne effet, tous les services liés à la bibliothèque glibc doivent être redémarrés, ou le système redémarré. Nous préparons actuellement des correctifs sans redémarrage qui seront prêts à être distribués la semaine prochaine.

À propos de la vulnérabilité RHSA-2020:3861

Les paquets glibc fournissent les bibliothèques C standard (libc), les bibliothèques POSIX thread (libpthread), les bibliothèques mathématiques standard (libm) et le démon de cache du service de noms (nscd) utilisé par plusieurs programmes du système. Sans ces bibliothèques, le système Linux ne peut pas fonctionner correctement.

La menace la plus importante de CVE-2019-19126 est la confidentialité, bien que la complexité de l'attaque soit élevée. L'application affectée doit déjà avoir d'autres vulnérabilités utilisables pour cette faille. Sur l'architecture x86-64, la bibliothèque GNU C (alias glibc) avant 2.31 ne tient pas compte de la variable d'environnement LD_PREFER_MAP_32BIT_EXEC pendant l'exécution du programme après une transition de sécurité. Cela permet aux attaquants locaux de restreindre un mappage potentiel d'adresses pour les bibliothèques chargées et ainsi de contourner ASLR pour un programme setuid.

Bien que CVE-2019-19126 ait un faible score CVSS, il est toujours risqué. Toute personne qui pense le contraire se trompe et s'expose à plus de travail, de douleur et de stress qu'elle ne le devrait. Tout risque est une possibilité de perte ou de dommage si une menace exploite une vulnérabilité (qui est une faiblesse dans le matériel ou le logiciel). Ainsi, même une vulnérabilité de faible gravité peut potentiellement endommager votre système.

Quelles sont les mesures d'atténuation disponibles ?

Les principales distributions Linux ont déjà été corrigées pour corriger cette vulnérabilité. Les administrateurs système doivent vérifier si un correctif est disponible pour les distributions utilisées dans leur organisation.

Red Hat a récemment publié la mise à jour de glibc pour Red Hat Enterprise Linux 7. Vous trouverez ici les instructions du fournisseur sur la manière d'appliquer cette mise à jour. Notez que pour que la mise à jour prenne effet, tous les services liés à la bibliothèque glibc doivent être redémarrés, ou le système redémarré.

Par ailleurs, KernelCare+ peut installer cette mise à jour et d'autres mises à jour de la glibc dans les processus en cours d'exécution, sans qu'il soit nécessaire de les redémarrer. Vous pouvez vous inscrire pour un essai de 7 jours de KernelCare+ et obtenir les mises à jour sans redémarrage au début de la semaine prochaine.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare