La faille touche un parc de machines
très étendu : "la plupart des distributions
de Linux et d'Unix sont livrées avec l'une ou l'autre des
librairies de DNS (Domain Name System - NDLR) qui posent problème"
explique Ludovic Blin, expert en sécurité informatique. Les librairies
en question sont très répandues : elles ont été
écrites il y a fort longtemps et ont été distribuées
gratuitement. Une grande partie des serveurs et des postes clients
tournant sous un OS libre sont concernés, ainsi que certains
matériels du type routeur ou switch. Selon Microsoft, les
différentes versions de Windows seraient épargnées.
Heureusement, tout le monde dans la
communauté open-source n'a pas à craindre une attaque qui
s'appuierait sur cette faille : "La manoeuvre serait tout
de même très complexe pour un pirate : il faudrait
qu'il fasse passer sa machine pour un serveur de DNS, et qu'il réussisse
à détourner la requête de sa victime vers son
propre serveur.
Tout
celà avant de lui envoyer une réponse à sa
requête qui exploite intelligemment la faille. Un tour de
force qui n'est pas impossible à réaliser, mais qui
n'est pas non plus à la portée du premier venu"
poursuit Ludovic Blin. L'essentiel des attaques exploitant cette
vulnérabilité pourrait donc viser délibérément
des serveurs ou des postes client contenant des informations sensibles.
Mais probablement pas des postes clients pris au hasard.
Une faille complexe
à exploiter
Pour les serveurs et les postes sensibles,
la faille est en revanche critique : un pirate pourrait faire
usage de tous les privilèges de la session ouverte -
et donc accéder aux droits de l'administrateur au cas où
la machine tournerait en mode administrateur. "Le problème
le plus grave qui soit" si l'on en croit Ludovic Blin. Une
fois encore, la brèche est dûe à une erreur
dans le processus de mise en mémoire tampon : "La
saturation du buffer est sans doute le problème qui cause
le plus fréquemment des failles critiques". La faille
pourrait donc permettre à un pirate de glisser un morceau
de code malintensionné sur le serveur, même si on ne
déplore actuellement aucune tentative qui se soit soldée
par une réussite. Publiquement et à cette heure au
moins.
Pour ne rien arranger, la faille est
assez difficile à corriger : "il faut faire le
tour des applicatifs qui utilisent les librairies de DNS et déterminer
si elles sont intégrées dans le logiciel en statique -
ou utilisées en dynamique, depuis une
librairie
externe". Dans le cas où
un ou plusieurs logiciels feraient appel à une librairie
externe en dynamique, il suffirait de la mettre à jour et
de la recompiler. Au contraire, dans le cas où les librairies
de DNS seraient statiques, il faudrait reprendre chaque programme,
mettre à jour sa librairie, et recompiler individuellement.
"Patcher"
ou aller plus loin ?
Un travail bien laborieux qui justifie selon certains experts l'installation
d'un serveur cache de DNS à la périphérie du
système, qui distribuerait les adresses IP à tous
les serveurs et postes clients du réseau. Ce nouveau
serveur cache fonctionnant bien sûr à partir de librairies
de DNS corrigées. Une solution peu onéreuse, puisque
"un P133 suffit", et qui a d'autres avantages que celui
de la sécurité : "On gagne facilement une
seconde sur la plupart des requêtes gràce au cache".
Beaucoup de travail tout de même pour une simple faille ...
Pour de plus amples informations, voir
l'alerte
du Cert.
[Nicolas Six, JDNet]