Cybersecurity

Looney Tunables : une faille dans la bibliothèque C de GNU donne accès au root sous Linux

L’équipe Qualys Threat Research Unit a découvert une importante faille de sécurité (CVE-2023-4911) dans la bibliothèque C de GNU. Elle peut provoquer un dépassement de mémoire tampon qui, exploité, peut conduire par escalade de privilèges à la récupération des droits administrateurs dans une partie des distributions Linux.

La bibliothèque C de GNU, appelée glibc, est chargée de fournir des fonctions essentielles au système, notamment les appels comme open, malloc, printf, exit, servant aux applications. Dans cette bibliothèque, le chargeur dynamique est responsable de la préparation et de l’exécution des programmes.

La faille réside dans la manière dont est traitée la variable GLIBC_TUNABLES, donnant son nom à la vulnérabilité, en référence aux Looney Tunes. Elle doit cependant être exploitée localement. La faille a été exploitée avec succès sur Debian 12 et 13, Ubuntu 22.04 et 23.04, et Fedora 37 et 38. Les chercheurs notent qu’Alpine Linux, par son utilisation de musl libc, n’est pas concernée.

Des correctifs ont été émis pour les autres. Il est recommandé de mettre à jour les installations aussi rapidement que possible.

Source

Veille-cyber

Share
Published by
Veille-cyber

Recent Posts

Qu’est-ce que la cybersécurité ? Définition, enjeux et bonnes pratiques en 2025

Qu’est-ce que la cybersécurité ? Définition, enjeux et bonnes pratiques en 2025 La cybersécurité est…

18 heures ago

Cybersécurité : Vers une montée en compétence des établissements de santé grâce aux exercices de crise

Cybersécurité : les établissements de santé renforcent leur défense grâce aux exercices de crise Face…

5 jours ago

L’IA : opportunité ou menace ? Les DSI de la finance s’interrogent

L'IA : opportunité ou menace ? Les DSI de la finance s'interrogent Alors que l'intelligence…

1 semaine ago

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le secteur financier

Sécurité des identités : un pilier essentiel pour la conformité au règlement DORA dans le…

1 semaine ago

Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques

La transformation numérique du secteur financier n'a pas que du bon : elle augmente aussi…

2 semaines ago

Les 7 menaces cyber les plus fréquentes en entreprise

Introduction La cybersécurité est devenue une priorité stratégique pour toutes les entreprises, grandes ou petites.…

2 semaines ago

This website uses cookies.