PwnKit : 12 ans que Linux est vulnérable par la faille Polkit pkexec

Alexia Coué
Systèmes d'exploitation, réseau et logiciels
26 janvier 2022 à 11h15
41
PwnKit © Neowin
© Neowin

Une faille touchant potentiellement toutes les distributions Linux vient d'être découverte. Elle exploite un programme installé par défaut sur les systèmes.

La vulnérabilité, surnommée PwnKit, a été découverte par la société Qualys, spécialiste de la sécurité et conformité dans le Cloud. Elle pourrait être en circulation depuis plus de 12 ans.

Des problèmes de sécurité en hausse

PwnKit est une vulnérabilité exploitant le programme Polkit pkexec, installé par défaut sur les distributions Linux. Celui-ci permet aux applications ne disposant pas des privilèges root (super administrateur) d'exécuter des processus avec ces droits beaucoup moins restrictifs.

D'après les tests de Qualys, l'exploit a pu être utilisé sur les distributions Ubuntu, Debian, Fedora et CentOS. Il ne faut cependant pas écarter la possibilité que la faille soit présente sur les autres distributions moins connues du grand public.

Ce n'est pas le premier problème de sécurité que rencontre Linux ces derniers temps. En plus de la recrudescence des malwares en ce début d'année, d'autres failles majeures ont récemment été détectées, comme la CVE-2021-3560. Trouvée en juin dernier, cette faille exploitait déjà Polkit pour avoir accès aux privilèges root sans mot de passe.

Comment fonctionne la vulnérabilité ?

Qualys a publié une vidéo démontrant le fonctionnement de la faille sur une distribution Debian. Bien qu'il soit impossible de l'exécuter sur un système à distance, son exploitation sur une machine physique pourrait faire de gros dégâts en donnant les privilèges root à un simple utilisateur.

La vidéo, assez impressionnante, prouve qu'une simple ligne de commande vous permet de devenir root sans entrer de mot de passe.

La faille, nommée CVE-2021-4034, a rapidement été signalé à la famille Linux, et des patchs ont pu arriver dans la foulée pour contrer cette vulnérabilité, notamment de la part de RedHat et Ubuntu.

Source : Neowin

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
41
19
melcky
12 ans que le code est open source, sans que le faille ne soit détectée.<br /> Et l’open source est censé être une garantie de sécurité ?<br /> La bonne blague.<br /> (Pop corn waiting)
TNZ
Et comment se fait il que tu ne l’aies pas vu depuis ?
Cris15
Polkit de Linux Mint a été mis à jour aujourd’hui.
Neustrie
(juillet 2021) Des chercheurs ont découvert une nouvelle faille de sécurité dans Windows 10. Celle-ci se trouve dans le pilote d’imprimante et existe depuis pas moins de 16 ans. Ce sont potentiellement des centaines de millions d’utilisateurs qui risquent d’être piratés. Comme tu le vois d’autres sont touchés et si on fait des recherches ce sont souvent les mêmes
melcky
Par ce que je comptais sur toi
melcky
Absolument, tant qu’il y aura du code, il y aura des failles.<br /> Mais preuve est faite (openssl y est passé avant) que l’open source, malheureusement, n’aura pas démontré sa capacité à prémunir le code de l’existence de failles.<br /> Il a d’autres avantages et inconvénients, mais certainement pas celui de l’immunité.
clockover
La sécurité par le secret la bonne blague également :)…<br /> Bref comme d’hab rien de nouveau sous le soleil.<br /> Les deux mode de «&nbsp;distribution&nbsp;» du code ont des avantages/inconvénients concernant la sécurité.<br /> Sinon j’ai des dizaines de Debian 10/11 «&nbsp;critique&nbsp;» (HA et données).<br /> Les serveurs frontaux n’ont pas pkexec.<br /> apt-get update &amp;&amp; apt-get upgrade<br /> Et voila c’est patché…<br /> On parle de Exchange ces derniers temps ?
Blap
Je crois que t’as strictement rien compris au sujet. Surtout avec une faille de ce type<br /> Aucun code n’est immune, personne de sensé n’a jamais affirmé cela, ca aide à découvrir et auditionner le code contre les failles et donc est intrinsèquement plus sécurisé qu’un code fermé où beaucoup moins de gens peuvent le faire.<br /> En attendant c’est en train d’etre patché. Il est possible de faire la meme chose sur Windows depuis des décennies (possible sans une seule ligne de code), et pourtant Microsoft n’a jamais patché la faille. Tant mieux, c’est comme ca que j’installe mes programmes au taff
LeGlop
L’open source n’a jamais donné une garantie de sécurité mais une garantie de pouvoir se prémunir tout de suite des failles découvertes, chose que le logiciel propriétaire ne permet pas de faire car on est à la merci du bon vouloir de l’éditeur.
max6
Tous les OS sont vulnérable et Linux ne peux pas faire exception. Le fait qu’on trouve les failles montre aussi que des spécialiste les cherchent ce qui est plutôt une bonne nouvelle. Vu la complexité des OS actuels je serait un peu inquiet si on en trouvait jamais.<br /> Le fait que le logiciel soit open source n’est en aucun cas une assurance de qualité ni de sécurité mais quand même il permet à beaucoup plus de monde d’auditer un code et aussi de chercher une solution à ce type de problèmes. Pour du code propriétaire et fermé il faut faire confiance à la firme éditrice et à un nombre réduit de codeurs qui ne sont pas à l’abri d’induire d’autres failles en patchant et comme personne ne peut aller vérifier il faudra attendre la prochaine alerte pour réagir.<br /> Ce n’est que l’avis d’un utilisateur un peu éclairé mais je peux me tromper.
Pernel
Tous les OS ont des failles, c’est pas le souci. Le problème c’est quand elles sont exploités. Ici ce n’est pas encore le cas, et comme l’info est remonté, ça sera vite corrigé avant l’exploitation, c’est même déjà le cas chez certaines distro
TNZ
Ce n’est pas tant le fait d’avoir des failles mais le temps nécessaire entre la découverte et la mise à disposition du correctif. Et là, les différents OS du marché ne sont pas égaux face à l’exercice.<br /> En fait, ce sont les distribs racine GNU/Linux qui sont les plus réactives. Puis viennent les distribs basées sur les distribs racine puis nos amis RedHat, puis les autres.<br /> En observant ce phénomène, on se rend mieux compte de l’importance d’un antivirus pour des OS à mises à jour paresseuses.
Baxter_X
Entre ça et log4js, ça commence à devenir inquiétant. Surtout que le logiciel libre est sensé être plus sécurisé car le code source est vérifiable par tous…
Francis7
Bien qu’il soit impossible de l’exécuter sur un système à distance, son exploitation sur une machine physique pourrait faire de gros dégâts en donnant les privilèges root à un simple utilisateur.<br /> Même pas peur.<br /> Il faut avoir un accès physique à la machine.
clockover
On a eu le même troll en first post.<br /> Je pense que ce n’est pas la peine de continuer à pêcher non ?
melcky
Rien, absolument rien, ne permet d’affirmer qu’une faille non rendu publique n’est pas exploitée.<br /> Corriger 12 ans plus tard, quand elle est rendue publique, pardon… mais ca me fait bien marrer.
melcky
Le proprietaire, a plein de soucies egalement.<br /> C’est marrant des qu’on est un peu lucide sur les limites de l’open source, tout de suite on essai de dévier la conversation sur un autre sujet.
Baxter_X
En quoi c’est un troll?
LeGlop
Où est la déviation ? Il s’agit juste de rappeler les faits. Personne n’a jamais dit que l’open source n’avait jamais de faille/bug. L’avantage de l’open source réside dans le fait que le code peut être audité indépendamment et patché plus rapidement.<br /> La faille était d’ailleurs déjà corrigée chez moi… CQFD.
TNZ
A partir du moment où une faille est exploitée et non publique, quelque soit l’OS et/ou les antivirus : non connue, non publique … ça passe !<br /> L’important est d’avoir le correctif le plus vite possible … et au niveau des utilisateurs, le seul levier laissé à notre disposition est le choix de l’OS qu’on met sur nos machines.<br /> Tu la joues facile à se moquer sans être capable de faire mieux. Si tu trouves que ce n’est pas sérieux, prends le clavier et montre nous que tu es très fort …
melcky
Je constate, que l’open source ne permet pas de se prémunire de failles, c’est un fait établit.<br /> (voir article ci-dessus)<br /> Jamais je n’ai écrit autre chose sur l’open source.<br /> Donc ne venez pas me parler de rapidité de patch, ce n’est pas du tout le meme sujet.<br /> Ne venez pas me parlez des logiciels proprietaires, qui ne clament pas etre plus sur de ce seul fait.
Peggy10Huitres
Et si on corrige …<br /> L’open source n’a jamais donné une garantie de sécurité mais une garantie de pouvoir se prémunir tout de suite des failles découvertes,<br /> en y implémentant d’autres failles.<br /> chose que le logiciel propriétaire ne permet pas de faire car on est à la merci du bon vouloir de l’éditeur.<br />
TNZ
C’est toi qui dit que l’open source est plus sûr … tout en tombant de l’armoire que ce n’est pas le cas.<br /> Pierre Desproges avait 2 mots pour ça : à la fois psychotique et névrosé.
LeGlop
Je constate, que l’open source ne permet pas de se prémunire de failles, c’est un fait établit.<br /> à part toi personne n’a affirmé le contraire. Tu ne fais qu’enfoncer une porte ouverte.
alexandre_bridel
Et l’open source est censé être une garantie de sécurité ?<br /> Pas du tout. Tu as certainement mal compris ce que tu as entendu. Il est même probable que tu ne l’ai jamais entendu tout court (dans le cas contraire, je veux bien que tu donnes la source qui affirme que l’open-source est une garantie de sécurité, mais je serais prêt à parier que ça n’arrivera pas).
melcky
Calme et factuel, et que tu essai de tourner en derision faute d’avoir quelque chose d’intelligent a répondre.<br /> Et la technique de faire dire a quelqu’un ce qu’il ne dit pas, puis le nier ensuite, un peu gros non ?
melcky
Parfait, mais pourquoi autant de diversions sur d’autres sujets, d’autres faits si je ne fait qu’ennoncer une veritée?<br /> par ce que finalement ce n’est pas bien clair dans l’esprit de beaucoup ?
Zimt
On en parle aussi des serveurs avec un compilateur installé dessus ?
melcky
un peu de saine lecture sur le sujet.<br /> binaire – 13 Jul 21<br /> L’open source, à manier avec précaution<br /> Les logiciels libres ont pris aujourd'hui une place importante dans le développement de pratiquement tous les systèmes numériques. Malheureusement, dans certains cas, l'utilisation de composants parfois obsolètes posent des questions de sécurité....<br />
TNZ
L’étalage des angoisses en place publique de personnes ne comprenant pas comment ça fonctionne ne peut pas être qualifié de saine lecture. Cela tient plus de la rubrique des « ovaires anxieux » d’un magazine féminin.<br /> Mais bon, si cela te rassure par rapport à tes convictions, pourquoi pas, mais ça reste du bullshit de base de détournement technique.
melcky
Lol, j’attend que tu publie un article nous expliquant les choses de la vie, visiblement tu aime ca.
Fodger
La vidéo ne montre rien : on se sait pas ce qu’il y a dans le exc.c.
Fodger
Les failles ne sont pas toutes «&nbsp;visibles&nbsp;», facilement détectable.<br /> L’open source a permis l’essor de Linux, et le développement économique de toute l’industrie informatique.<br /> Ca fait toujours marrer de lire un commentaire vide de sens.
ben_car
Il y a souvent un délai entre la démonstration et l’explication.
melcky
Le pétrole a permis l’essor du transport individuel, et le développement de toute l’industrie.<br /> Il se trouve que malgré tout, il a aussi de gros défauts.<br /> Le mentionner n’est pas nier tout ce qu’il a permis par ailleurs.<br /> Pour l’open source, c’est pareil.
ben_car
Mais ça confirme que le choix de la commission européenne de lancer des campagne de chasse au bug dans des logiciels libre est une bonne idée.<br /> Maintenant il faudrait faire ça aussi sur les fondations, car pour l’instant c’est plus des logiciel type VLC, LibreOffice que sont dirigé les efforts.
ben_car
Après que le code source soit ouvert ou fermé il y a quand même des failles. Mais l’avantage de l’open sources c’est que la personne qui trouve le bug peut aussi proposer une correction. Et que c’est souvent plus transparent.
xylf
Quand on lit l’article, la faille en question «&nbsp;pourrait&nbsp;» date de 12 ans. Alors j’ai pas lu la source, mais le conditionnel apporte aucune certitude. La faille est découverte récemment mais serait vieille (impliquant peut être qu’elle n’était pas exploitée ?)? Ou la découverte date et rien n’a été fait pendant tout ce temps?<br /> Pour rebondir sur tout ce que j’ai lu en commentaire, que ce soit close ou open source, ce sont des personnes qui codent et dans les deux cas ne sont pas à l’abris de coder des erreurs. Lire du code source ne veut pas dire qu’on puisse voir la faille, surtout si le code est complexe long. La majorité des failles sont trouvés en analysant le comportement des exécutions logiciels. Analyse + lecture ok.<br /> l’Open Source en terme de sécurité a son avantage au close sur les points suivants : grand audit, disponibilité développeur, proposition de correction. Là où en close source on dépend du bon vouloir du propriétaire, s’il en fait une priorité ça peut aller vite, sinon il faudra attendre après lui.<br /> Bref, moi même étant friant de logiciels libres, il faut rester prudent, mais généralement les corrections ne trainent jamais.<br /> Le seul domaine libre où a ma connaissance la sécurité est maître mot, c’est chez openbsd, car ils y concentrent l’effort des la conception + audit du code. Os secure mais pas forcément les logiciels tiers, donc prudence quand même.
Fodger
Ton propos tenait plus du troll qu’autre chose.<br /> Évidemment que ça n’est pas exempt de défaut.
alexandre_bridel
«&nbsp;dans le cas contraire, je veux bien que tu donnes la source qui affirme que l’open-source est une garantie de sécurité, mais je serais prêt à parier que ça n’arrivera pas&nbsp;»<br /> C’est bien ce que je pensais.
Steph29
Mais que sous entends dans tous tes posts à essayer de descendre les logiciels open sources, que les logiciels propriétaires sont plus sûrs ?<br /> Parce que les contributeurs ici sont plutôt modérés et honnêtes. Tes propos à toi sont plutôt dans la catégorie des trolls qui essaient de déclencher des réactions agressives sans y arriver.
melcky
C’était certes prévisible, on extrapole à la vas vite mes propos pour tenter de leur faire dire ce qu’ils ne disent pas.<br /> Tout cela pour défendre un dogme partiellement erroné.<br /> Si je vous dit, que bouffer des bonbons sans modération est mauvais pour la santé, ne me repondez pas:<br /> qu’est ce que tu a contre les bonbons<br /> les patisseries sont pires que les bonbons
melcky
J’ai declenché un wagon de reponses a coté de la plaque, c’est sur…
Fodger
ça n’a pas de sens de dire que l’open source est de la daube niveau sécurité.<br /> Il n’y a pas plus de failles que chez un éditeur avec un code 100% privé.
melcky
Fodger:<br /> ça n’a pas de sens de dire que l’open source est de la daube niveau sécurité.<br /> vu que ce n’est pas ce que j’ai ecrit, je ne vois pas ce que ca vient faire là.<br /> c’est vraiment interessant de voir a quel point les gens interprètent à leur facon.<br /> Fodger:<br /> Il n’y a pas plus de failles que chez un éditeur avec un code 100% privé.<br /> meme réponse.
LeGlop
En même temps tu commences par une affirmation à côté de la plaque, il ne fallait pas t’attendre à autre chose.<br /> Pour le reste, il faut rappeler que la faille est «&nbsp;locale&nbsp;» donc pour l’exploiter il faut déjà un accès à la machine.
max6
inquiétant faut pas exagérer quand même dans la mesure ou il faut un accès physique direct à la machine vulnérable cela réduit quand même beaucoup les risque.
melcky
LeGlop:<br /> En même temps tu commences par une affirmation à côté de la plaque, il ne fallait pas t’attendre à autre chose.<br /> Un fait et une affirmation a coté de la plaque sont deux choses différentes. Tu as du mal lire, ca arrive… allez bonne journée.
Fodger
12 ans que le code est open source, sans que le faille ne soit détectée.<br /> Et l’open source est censé être une garantie de sécurité ?<br /> La bonne blague.<br /> Relis toi.
LeGlop
J’ai bien lu, comme tous ceux qui t’ont répondu sur ce thread du reste.<br /> l’open source est censé être une garantie de sécurité <br /> ça c’est bien toi qui l’a écrit, ce n’est pas un fait et c’est bien à côté de la plaque.<br /> Ce n’est pas grave hein, ça arrive de vouloir réagir trop vite et de dire des bêtises, l’essentiel c’est de le reconnaître.
Baxter_X
Je parle de façon globale avec ces failles graves que l’on découvre récemment. Comme celle pour log4js.<br /> Cela tend à démonter l’argument souvent entendu que le logiciel libre est plus sécurisé que le propriétaire.
melcky
En même temps tu commences par une affirmation à côté de la plaque,<br /> Fait reference a mon premier post, pas a ce qui tu cite (ca commence mal)<br /> On tourne en rond<br /> Fin, en ce qui me concerne sur ce sujet.
LeGlop
melcky:<br /> Fait reference a mon premier post, pas a ce qui tu cite (ca commence mal)<br /> Non seulement ce que je cite est tiré de ton premier post sur ce thread, mais c’est aussi le premier post du thread… Tu as raison d’en rester là
alexandre_bridel
C’est un peu une variante du Problème XY. On a une discussion pour savoir si les gens qui ont présenté l’open-source comme étant une garantie de sécurité ont tort ou raison. Alors que ces gens n’existent pas, ils n’ont donc ni tort ni raison. C’était une erreur de ta part d’affirmer que l’open-source est censé être une garantie de sécurité. Personne n’a jamais dit ça, et tu n’es visiblement pas capable de donner une source pour appuyer ce que tu as dit.<br /> Une réponse saine normale serait «&nbsp;En effet, l’open-source n’est pas censé être une garantie de sécurité, donc c’est normal d’avoir des failles, autant pour moi.&nbsp;»<br /> Il y a aussi la réponse qui consiste à s’enfoncer dans le déni et à fuir la discussion, mais en plus de te faire continuer à croire des bêtises, c’est franchement pas très classe.
Voir tous les messages sur le forum

Lectures liées

Vous cherchez à obtenir Photoshop ? Cette promo Adobe est faite pour vous !
Google Cloud va enfin lancer ses data centers en France
Windows 11 preview 25120 : bureau interactif et compatibilité ARM64
Renault va mettre un navigateur dans sa Mégane E-Tech, mais pas celui que vous pensez
Brave renforce encore la protection de votre vie privée sur iOS
Shadow repense son offre de cloud computing et annonce un drive gratuit de 20 Go
Découvrez l'app Microsoft Designer en images, le successeur de Publisher ?
Surfshark VPN s'offre enfin une interface sous Linux
Apple dévoile ses prochaines fonctionnalités d'accessibilité : détection de porte, Live Caption, etc.
iOS 15.5 : voici toutes les nouveautés déployées sur votre iPhone par la nouvelle mise à jour Apple
Haut de page