Une faille de sécurité impacte les distros Linux et BSD utilisant X.Org Server

Bastien Contreras
Publié le 05 novembre 2018 à 11h24
sécurité

Une nouvelle faille de sécurité touchant le package X.Org Server pourrait constituer une menace pour de nombreuses distributions Linux et BSD. Elle permet en effet à quiconque de modifier ses propres droits d'accès.

La semaine dernière, Narendra Shinde, chercheur en sécurité, a révélé l'existence d'une vulnérabilité pouvant impacter des systèmes d'exploitation open source. La bonne nouvelle, c'est qu'elle ne concerne que ceux utilisant le paquet X.Org Server. La mauvaise, c'est que presque toutes les distributions Linux et BSD sont dans ce cas.

Une faille présente depuis mai 2016

Le package X.Org Server est un système graphique permettant notamment aux systèmes d'exploitation open source de proposer un affichage par fenêtres. On le retrouve à la base d'environnements comme KDE et GNOME, largement répandus dans des distributions telles que Red Hat Enterprise Linux, Fedora, ou encore Ubuntu.

Cette faille de sécurité peut donc toucher de nombreux utilisateurs, et ce depuis mai 2016, d'après l'auteur de la découverte. Elle serait causée par une mauvaise utilisation de deux options de lignes de commande : -logfile et -modulepath. La bonne nouvelle, c'est que cette vulnérabilité n'est exploitable que si X.Org Server peut s'exécuter avec les privilèges root. La mauvaise, c'est que c'est très souvent le cas.

Obtenir un accès root à votre insu

Par conséquent, un utilisateur mal intentionné peut parfaitement profiter de cette faille pour insérer des commandes malveillantes. Il peut alors, en quelques lignes de commande, modifier ses droits d'accès, s'attribuer des privilèges root, ou encore supprimer des fichiers du système, même les plus critiques.

En réaction, les développeurs de la Fondation X.Org ont publié une mise à jour permettant de résoudre ce problème. Cette version 1.20.3 sera déployée via les prochaines mises à jour des distributions Linux et BSD.
Bastien Contreras
Par Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
nrik_1584

Ca semble tout de même nécessiter un accès physique ou au moins en ssh / prise de main pour être utilisé.

Matrix-7000

Oui, je suis d’accord avec “nrik_1584” sans un accès physique ou SSH à la machine cela ne semble pas être si dramatique que cela. (attention, cela reste un faille tout de même) De plus, la majorité des serveurs Linux tournent sans l’interface graphique et donc sans Xorg… Pour les machines avec GUI, la solution est simple, ne pas prêter sa machine et ne pas installer des paquets “exotiques”. Pour SSH, il suffit de ne pas installer/activer le serveur SSH sur son PC et d’utiliser des clés privées/publiques pour l’authentification sur les serveurs Linux. Tout ceci me semble de toute façon être une évidence. Ce qui est génial, c’est la réactivité de la communauté pour comblé cette faille. Un grand merci à tous les programmeurs (souvent bénévoles) des différentes distributions Linux.

merotic

Pour une fois qu’un article est rédigé avec une point d’esprit, j’apprécie grandement !
Félicitations !

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles