Vulnérabilités récentes de la glibc et comment protéger votre système Linux
La bibliothèque GNU C, communément appelée glibc, est un composant essentiel de nombreuses distributions Linux. Elle fournit des fonctions essentielles au fonctionnement du système. Cependant, comme toute bibliothèque logicielle, elle n'est pas à l'abri des vulnérabilités. Récemment, plusieurs problèmes de sécurité ont été identifiés dans la glibc, qui pourraient entraîner un déni de service. Ces vulnérabilités sont introduites dans la version 2.15 de la glibc avec l'ajout de la fonction de cache au Name Service Cache Daemon (nscd).
Vue d'ensemble des vulnérabilités de la glibc
Les vulnérabilités corrigées comprennent plusieurs problèmes critiques dans le démon de cache du service de noms (nscd) de la bibliothèque C de GNU, qui est utilisé pour mettre en cache les demandes de service de noms.
CVE-2024-33599
Une vulnérabilité de type débordement de mémoire tampon basée sur la pile existe dans le démon de cache du service de noms (nscd) au sein de la bibliothèque GNU C (glibc). Ce problème survient lorsque le cache de taille fixe de nscd s'épuise suite à des requêtes de clients. Si une requête ultérieure pour des données de groupe de réseau est faite, cela peut entraîner un débordement de tampon basé sur la pile. Un attaquant local peut exploiter cette faille pour provoquer un déni de service (plantage du système).
CVE-2024-33600
Une vulnérabilité de déréférencement de pointeur nul a été découverte dans le Name Service Cache Daemon (nscd) de la glibc. Ce problème survient lorsque nscd ne parvient pas à ajouter à son cache une réponse "not found" d'un groupe de réseau, ce qui entraîne une déréférence de pointeur nul lors d'une requête ultérieure d'un client. Un attaquant local peut exploiter cette faille pour provoquer un déni de service (plantage du système).
CVE-2024-33601
Une vulnérabilité a été identifiée dans nscd de la bibliothèque GNU C, où les fonctions xmalloc ou xrealloc du cache netgroup peuvent entraîner l'arrêt du démon en cas d'échec de l'allocation de mémoire. Ce problème pourrait permettre à un attaquant local de provoquer un déni de service.
CVE-2024-33602
Une vulnérabilité de corruption de mémoire a été découverte dans le démon de cache du service de noms (nscd) de la bibliothèque C de GNU. Ce problème survient lorsque le cache netgroup suppose incorrectement que le rappel NSS stocke toutes les chaînes dans le tampon fourni. Si le callback ne le fait pas, cela peut conduire à une corruption de la mémoire. Un attaquant local peut exploiter cette faille pour provoquer un déni de service (plantage du système).
Toutes ces vulnérabilités ne sont présentes que dans le binaire nscd.
Mesures d'atténuation
Pour remédier à ces vulnérabilités, il est fortement recommandé de mettre à jour les paquets glibc sur vos systèmes. En général, une mise à jour standard du système appliquera tous les correctifs nécessaires pour résoudre ces vulnérabilités.
L'équipe de sécurité d'Ubuntu a fourni des mises à jour visant à corriger ces vulnérabilités de la glibc dans différentes versions, dont Ubuntu 24.04 LTS, Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM, et Ubuntu 16.04 ESM. De même, l'équipe de sécurité de Debian a également publié des mises à jour pour corriger ces vulnérabilités dans Debian 11 et Debian 12.
Live Patching des vulnérabilités de glibc
Traditionnellement, la correction de ces vulnérabilités implique un redémarrage du système. Cependant, avec LibCare de TuxCare, vous pouvez automatiser l'application des correctifs de sécurité pour la glibc sans avoir à redémarrer le système ou à programmer des fenêtres de maintenance. LibCare est un outil complémentaire à KernelCare Enterprise, une solution de correction en direct du noyau fournie par TuxCare.
De plus, l'Extended Lifecycle Support (ELS) de TuxCare vous permet de recevoir des mises à jour de sécurité pour les systèmes Linux en fin de vie, même après la date de fin de vie. Cela inclut les correctifs de vulnérabilité pour glibc, le noyau Linux, OpenSSL, Python et d'autres paquets divers. Actuellement, l'ELS est disponible pour CentOS 6, 7 et 8, CentOS Stream 8, Oracle Linux 6, Ubuntu 16.04 et Ubuntu 18.04.
Conclusion
Les failles identifiées conduisent principalement à des dénis de service, qui peuvent perturber les opérations et potentiellement exposer les systèmes à d'autres risques s'ils ne sont pas corrigés. Il est essentiel de remédier aux vulnérabilités de la glibc pour maintenir la fiabilité et la sécurité des systèmes. Comme ces vulnérabilités affectent diverses distributions Linux, vous pouvez suivre la disponibilité des correctifs pour votre version spécifique à l'aide d'un traqueur CVE de TuxCare.
Découvrez comment KernelCare Enterprise et LibCare permettent aux organisations d'appliquer des correctifs sans avoir à redémarrer les distributions Linux les plus courantes.
Source : USN-6804-1