Bien que ce ne soit pas très courant, une vulnérabilité frappante apparaît parfois dans les systèmes GNU/Linux. Depuis, un bug a été découvert, nommé Looney Tunables, qui permet à un utilisateur normal d’obtenir les privilèges root. Découvrez quels systèmes sont concernés.
Looney Tunables : La vulnérabilité qui permet l’élévation de privilèges…
La faille découverte représente un risque important d’accès non autorisé aux données, de modifications du système, d’un éventuel vol de données et d’un contrôle total des systèmes vulnérables, en particulier dans les systèmes du monde de l’Internet des objets.
Fedora, Ubuntu et Debian sont les systèmes les plus menacés par le bug (CVE-2023-4911 CVSS 7.8), comme l’ont révélé les chercheurs de Qualys dans un article sur le blog officiel du 3 octobre. Selon les informations, Debian 12 et 13, Ubuntu 22.04 et 23.04 et Fedora 37 et 38 sont les versions les plus critiques, mais il doit y avoir d’autres versions moins populaires avec le même problème.
Selon les informations, le bug se situe au niveau de la Glibc, qui est une bibliothèque qui définit les appels système et d’autres fonctionnalités de base, telles que open, malloc, printf, exit, etc. La vulnérabilité se produit dans la manière dont le chargeur dynamique de la glibc traite la variable d’environnement GLIBC_TUNABLES (d’où le nom du bug).
Looney Tunables est la dernière faille s’ajoutant à la liste des vulnérabilités d’élévation de privilèges découvertes sous Linux ces dernières années, notamment CVE-2021-3156 (Baron Samedit), CVE-2021-3560, CVE-2021-33909 (Sequoia), et CVE-2021-4034 (PwnKit), qui peut être transformé en « arme » pour obtenir des autorisations élevées.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
