Une faille de sécurité affecte presque toutes les distributions Linux

La société de cybersécurité Qualys a révélé, le 3 octobre 2023, l’existence d’une importante faille de sécurité dans les distributions Linux. Répertoriée CVE-2023-4911, elle dispose d’un score CVSS (« Common Vulnerability Scoring System ») de 7,8, ce qui en fait une faille grave, sans être critique.

Présente depuis avril 2021, elle touche la grande majorité des distributions Linux. Son exploitation peut avoir d’importantes conséquences. Il s’agit d’un débordement de mémoire tampon qui affecte la variable d’environnement « GLIBC_TUNABLES », d’où le surnom que Qualys lui a donné, « Looney Tunables ».

Cette variable « est un outil essentiel pour les développeurs et les administrateurs système. Sa mauvaise utilisation ou son exploitation affecte largement les performances, la fiabilité et la sécurité du système. La facilité avec laquelle le débordement de la mémoire tampon peut être transformé en une attaque portant uniquement sur les données pourrait mettre en péril un nombre incalculable de systèmes », expose Saeed Abbasi, membre de l’unité de recherche sur les menaces de Qualys.

Les chercheurs auraient d’ailleurs identifié au moins un exploit de la vulnérabilité. Des correctifs sont disponibles pour la majorité des distributions affectées. Pour celles ne disposant pas encore d’un patch, un script permet d’atténuer grandement les effets de la faille,