La faille touche un parc
de machines très étendu : "la
plupart des distributions de Linux et d'Unix sont livrées
avec l'une ou l'autre des librairies de DNS (Domain
Name System - NDLR) qui posent problème"
explique Ludovic Blin, expert en sécurité informatique.
Les librairies en question sont très répandues :
elles ont été écrites il y a fort
longtemps et ont été distribuées
gratuitement. Une grande partie des serveurs et des
postes clients tournant sous un OS libre sont concernés,
ainsi que certains matériels du type routeur
ou switch. Selon Microsoft, les différentes versions
de Windows seraient épargnées.
Heureusement, tout le monde
dans la communauté open-source n'a pas à
craindre une attaque qui s'appuierait sur cette
faille : "La manoeuvre serait tout de même
très complexe pour un pirate : il faudrait
qu'il fasse passer sa machine pour un serveur de DNS,
et qu'il réussisse à détourner
la requête de sa victime vers son propre serveur.
Tout
celà avant de lui envoyer une réponse
à sa requête qui exploite intelligemment
la faille. Un tour de force qui n'est pas impossible
à réaliser, mais qui n'est pas non plus
à la portée du premier venu" poursuit
Ludovic Blin. L'essentiel des attaques exploitant cette
vulnérabilité pourrait donc viser délibérément
des serveurs ou des postes client contenant des informations
sensibles. Mais probablement pas des postes clients
pris au hasard.
Une
faille complexe à exploiter
Pour les serveurs et les
postes sensibles, la faille est en revanche critique :
un pirate pourrait faire usage de tous les privilèges
de la session ouverte - et donc accéder
aux droits de l'administrateur au cas où la machine
tournerait en mode administrateur. "Le problème
le plus grave qui soit" si l'on en croit Ludovic
Blin. Une fois encore, la brèche est dûe
à une erreur dans le processus de mise en mémoire
tampon : "La saturation du buffer est sans
doute le problème qui cause le plus fréquemment
des failles critiques". La faille pourrait donc
permettre à un pirate de glisser un morceau de
code malintensionné sur le serveur, même
si on ne déplore actuellement aucune tentative
qui se soit soldée par une réussite. Publiquement
et à cette heure au moins.
Pour ne rien arranger,
la faille est assez difficile à corriger :
"il faut faire le tour des applicatifs qui utilisent
les librairies de DNS et déterminer si elles
sont intégrées dans le logiciel en
statique - ou utilisées en dynamique, depuis
une
librairie
externe". Dans
le cas où un ou plusieurs logiciels feraient
appel à une librairie externe en dynamique, il
suffirait de la mettre à jour et de la recompiler.
Au contraire, dans le cas où les librairies de
DNS seraient statiques, il faudrait reprendre chaque
programme, mettre à jour sa librairie, et recompiler
individuellement.
"Patcher"
ou aller plus loin ?
Un travail bien laborieux qui justifie selon certains
experts l'installation d'un serveur cache de DNS à
la périphérie du système, qui distribuerait
les adresses IP à tous les serveurs et postes
clients du réseau. Ce nouveau serveur cache
fonctionnant bien sûr à partir de librairies
de DNS corrigées. Une solution peu onéreuse,
puisque "un P133 suffit", et qui a d'autres
avantages que celui de la sécurité :
"On gagne facilement une seconde sur la plupart
des requêtes gràce au cache". Beaucoup
de travail tout de même pour une simple faille ...
Pour de plus amples informations,
voir l'alerte
du Cert.
|