Nouvelle version du patch Openwall pour le noyau Linux

Les vulnérabilités dans le noyau Linux sont d´actualité... Et il est fort probable qu´une machine équipée d´un tel patch n´aurait pas été touchée par les dernières failles découvertes. Il est conseillé d´utiliser ce type patch sur vos machines d´autant que le délai entre la découverte d´une vulnérabilité et l´annonce publique de son existence peut varier de quelques jours à plusieurs semaines. Les équipes de Gentoo et Debian en ont fait l´expérience très récemment à leurs dépens. Les pirates qui se sont introduits sur leurs serveurs en production ont utilisé des failles qui jusqu´alors n´étaient pas connues du public : aucun correctif n´était donc disponible.

L´exploitation de ces vulnérabilités n´aurait sans doute pas été possible si les machines avaient utilisé des patchs comme Openwall ou Grsecurity qui les protégent des attaques standard... par exemple les dépassements de mémoire tampon - et réduisent les risques d´exploitation de failles dans le noyau.

Openwall kesako ?

Openwall permet de protéger les systèmes d´exploitation Linux contre les vulnérabilités de type "buffer overflow", "format string" et leurs variantes (malloc, heap). Il offre en outre un meilleur cloisonnement des utilisateurs et une plus grande discrétion quant aux informations sensibles qu´un utilisateur peut récolter sur une machine notamment en réglementant l´accès au répertoire /proc. Openwall détruit enfin de manière automatique les segments de mémoire partagée orphelins (c´est-à-dire qui ne sont plus attachés à un process).Par défaut sous Linux, il est possible de limiter le nombre de process pour un utilisateur donné via setrlimit. Cependant cette limite n´est vérifiée que lors de la création d´un process. Si le process change son UID et fork, il n´est pas vérifié et il est donc possible de dépasser la limite fixée. Openwall corrige également ce problème.

Des améliorations sont aussi apportées au niveau de la gestion des file handler en vérifiant que les file handler 0,1 et 2 sont toujours ouverts lors de l´appel d´un binaire SUID/SGID.

En bref, Openwall est une alternative au patch Grsec, certes moins complet, mais tout aussi efficace.

Yann S., isecurelabs.com