Google divulgue les vulnérabilités du noyau CentOS Linux suite à l’échec de la publication de correctifs en temps opportun

Google Project Zero est une équipe de sécurité chargée de découvrir les failles de sécurité dans les propres produits de Google ainsi que dans les logiciels développés par d’autres fournisseurs. Une fois découverts, les problèmes sont signalés en privé aux fournisseurs et ils disposent de 90 jours pour résoudre les problèmes signalés avant qu’ils ne soient divulgués publiquement. Dans certains cas, un délai de grâce de 14 jours est également accordé, en fonction de la complexité de la solution concernée.

Nous avons largement couvert les découvertes de Google Project Zero dans le passé, car il a signalé des vulnérabilités dans les logiciels développés par Google , Microsoft , Qualcomm , Apple , etc. Maintenant, l’équipe de sécurité a signalé plusieurs failles dans le noyau de CentOS.

Comme détaillé dans le document technique ici , le chercheur en sécurité de Google Project Zero, Jann Horn, a appris que les correctifs du noyau apportés aux arborescences stables ne sont pas rétroportés vers de nombreuses versions d’entreprise de Linux. Pour valider cette hypothèse, Horn a comparé le noyau CentOS Stream 9 à l’arborescence stable linux-5.15.y. Pour ceux qui ne le savent pas, CentOS est une distribution Linux la plus proche de Red Hat Enterprise Linux (RHEL) et sa version 9 est basée sur la version linux-5.14.

Comme prévu, il s’est avéré que plusieurs correctifs du noyau n’ont pas été déployés dans des versions plus anciennes mais prises en charge de CentOS Stream/RHEL. Horn a en outre noté que pour ce cas, Project Zero donne un délai de 90 jours pour publier un correctif, mais à l’avenir, il pourrait attribuer des délais encore plus stricts pour les backports manquants :

Je signale ce bogue sous notre délai habituel de 90 jours cette fois car notre politique n’a actuellement rien de plus strict pour les cas où les correctifs de sécurité ne sont pas rétroportés ; nous pourrions changer notre traitement de ce type de problème à l’avenir.

Ce serait bien si Linux en amont et des distributions comme vous pouvaient trouver une sorte de solution pour synchroniser vos correctifs de sécurité, de sorte qu’un attaquant qui veut trouver rapidement un bon bogue de corruption de mémoire dans CentOS/RHEL ne puisse pas simplement trouver un tel bogues dans le delta entre stable en amont et votre noyau. (Je me rends compte qu’il y a probablement beaucoup d’histoire ici.)

Red Hat a accepté les trois bogues signalés par Horn et leur a attribué des numéros CVE. Cependant, la société n’a pas réussi à résoudre ces problèmes dans le délai imparti de 90 jours et, à ce titre, ces vulnérabilités sont rendues publiques par Google Project Zero. Vous pouvez trouver quelques détails de haut niveau ci-dessous :

• CVE-2023-0590 : une faille d’utilisation après libération dans le noyau Linux en raison d’une condition de concurrence, d’une gravité modérée et d’un vecteur d’attaque local
• CVE-2023-1252 : Vulnérabilité d’utilisation après libération dans le système de fichiers Ext4 du noyau Linux qui permet à un attaquant de planter le système ou d’élever les privilèges, gravité modérée, vecteur d’attaque local
• CVE-2023-1249 : faille d’utilisation après libération dans le sous-système de vidage de mémoire du noyau Linux qui est difficile à exploiter mais peut permettre à un attaquant de planter le système, faible gravité, vecteur d’attaque local

Maintenant que les détails de ces failles de sécurité dans certains noyaux Linux sont publics, il reste à voir si Red Hat subira des pressions pour les corriger dès que possible.