Cette faille permet depuis un simple compte utilisateur de passer root. Et la mauvaise nouvelle c’est que cela affecte la plupart des kernels supportant IPv6 (bon ca c’est la version édulcorée, en vrai c’est le protocole qui gère Bluetooth, PPPoX, IRDA et autres joyeusetés); c’est à dire:

- Linux 2.4, de 2.4.4 jusqu’à 2.4.37.4 compris.
- Linux 2.6, de 2.6.0 jusqu’à 2.6.30.4 compris.

C’est donc un monstre de dangerosité. Inutile de se lancer dans des élucubrations sur la faille en elle même, elle est bien évidemment largement documentée par ses auteurs: http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html ou surtout le blog de julien (qui doit voir son PR exploser).

- return sock->ops->sendpage(sock, page, offset, size, flags);
+ return kernel_sendpage(sock, page, offset, size, flags);

Cette ligne suffit à corriger la faille dans le kernel, patchée d’ailleurs par Sieur Torvalds himself. Le patch est ici.

Cette faille provoque bien évidemment une patch party chez les hébergeurs sérieux ayant avertis leurs clients. Par exemple OVH a avertis par mailing mais également sur le forum. Ils mettent à disposition une version recompilée du noyau sur ftp://ftp.ovh.net/made-in-ovh/bzImage/.

Je vous encourage vivement à mettre à jour vos systèmes. L’exploit est en effet disponible sur milw0rm, [2]. Enfin dernière chose amusante, l’auteur du premier exploit est Brad Spengler, oui oui l’auteur de Grsecurity (Un patch qui permet d’ajouter des fonctions de sécurité au kernel). D’ailleurs les kernels tournant avec GRS ne sont pas faillibles :-) Pied de nez aux personnes n’étant pas disposées à réduire un peu les performances pour améliorer la sécurité de leurs serveurs.

Juste pour information sur mon introduction, Julien Tinnes n’est pas à son premier coup d’essai, [2], [3 !]. Il travaille désormais chez Google comme Ingénieur Securité après avoir fait un passage chez Orange Labs. Décidément pas de chaussure au pieds des ingés sécurité en France ?

Sur ce, bonne lecture et bon tests.

La plupart des nouveaux utilisateurs de systèmes Gnu/Linux partent du postulat qu’utiliser un Linux est bien plus sûr qu’un Windows, et que de fait, il n’est pas forcément nécessaire d’avoir un firewall, ou encore de passer de temps à paramétrer son système. Ils ont évidement tort, considérer Linux comme plus secure que Windows est une erreur, et ne pas paramétrer son OS en est une autre. Lors des audits de sécurité, c’est souvent une machine end-user du parc qui fait défaut. Il existe pourtant un module qui fournit à Linux l’intégralité des fonctions de pare-feu: Netfilter. Il intercepte et manipule les paquets IP avant et après le routage. Pour configurer Netfilter en espace utilisateur, on utilise Iptables. Nous devons souvent proposer aux administrateurs et utilisateurs une configuration d’un firewall que nous estimons saine post-audit. Ce billet reprend la plupart des informations que nous mettons en avant dans le rapport.

Afin de faciliter la lecture de cette configuration, j’ai opté pour un export html, avec quelques textareas permettant à chacun de pouvoir copier coller les parties qui l’interesse. Une fonction amusante de port knocking est expliquée en fin de document.

Configuration d’un firewall avec Iptables/Netfilter

A noter que l’auteur de la configuration initiale est Raphael Prevost, consultant sécurité au sein de Wargan Solutions.