Linux 64-bit: identification d’une faille de sécurité importante

Vendredi dernier, une faille de sécurité importante qui affecte les systèmes d’exploitation Linux 64-bit a été identifiée (http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3081 et http://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301).

Cette faille est potentiellement très dangereuse car elle permet à un hacker malintentionné de prendre le contrôle d’un serveur Web en lui donnant un accès complet «root» à l’aide d’une porte d’accès détournée (communément appelée «backdoor»).

Le problème est d’autant plus important que cette faille semble avoir été exploitée beaucoup plus rapidement que d’habitude. Dès qu’une faille est publiée cela prend habituellement quelques temps avant que des hackers ne tentent de l’exploiter. Cette fois-ci la faille étant facilement exploitable, les premiers rapports ont été publiés par divers hébergeurs Web à peine 48h après sa publication.

Heureusement le problème peut être contré en mettant rapidement à jour le noyau (kernel) du système.

Debian:
http://security-tracker.debian.org/tracker/CVE-2010-3301

Ubuntu:
http://www.ubuntu.com/usn/usn-988-1

Redhat:
kernel-2.6.18-194.11.4.el5.rpm
https://rhn.redhat.com/errata/RHSA-2010-0704.html

CentOS:
http://bugs.centos.org/view.php?id=4518

yum update kernel* et redémarrez votre serveur avec la commande « reboot »

Fedora:
F12: kernel-2.6.32.21-168.fc12
http://lists.fedoraproject.org/pipermail/package-announce/2010-September/047965.html

F13: kernel-2.6.34.7-56.fc13
http://lists.fedoraproject.org/pipermail/package-announce/2010-September/047943.html

Un simple “yum -y update kernel && reboot” suffira pour vous protéger.

La compagnie Ksplice a également rendu disponible une application qui permet de vérifier si la vulnérabilité à été exploitée sur un serveur et détecte s’il y a un backdoor en mémoire. L’outil est disponible ici: http://www.ksplice.com/uptrack/cve-2010-3081

Si vous suspectez que votre serveur a été exploité, veuillez noter que le hacker aura possiblement installé plusieurs autres types de backdoors sur le serveur. Il est toujours possible d’utiliser la commande ‘chkrootkit’ pour vérifier les backdoors et rootkits connus et détectables.

Il est également important que toutes les applications utilisées sur le serveur soit régulièrement mises à jour puisque les hackers ciblent particulièrement les sites Web qui utilisent des versions périmées d’applications comme WordPress ou Joomla pour contourner les mesures de sécurité habituelles.

J’ai écrit cet article à l’origine sur le blogue d’iWeb, il y est également disponible en anglais.

Laisser un commentaire