Une faille critique dans Linux facilite sérieusement le DDoS des serveurs

Si Linux a du mal à se faire une place dans les machines grand public, le succès est bien plus au rendez-vous côté serveur - Android mis à part. Or s'il y a bien un prérequis au marché de ces derniers, c'est la sécurité. Pas de chance, une vulnérabilité vient d'être découverte, qui concerne de surcroit la partie réseau, en plus d'être très facilement utilisable.

Il s'agit en fait de trois vulnérabilités, nommées CVE-2019-11477, CVE-2019-11478 et CVE-2019-11479, qui permettent à n'importe qui ayant la capacité d'établir une connexion TCP - chose très courante, puisque le web se base justement sur le protocole TCP/IP, tout comme le SSH - de causer un kernel panic (l'écran bleu façon Linux) au serveur en question. Voilà qui est fort consternant, d'autant plus que l'introduction de la faille remonte à la version 2.6.29, soit.... mars 2009 : il y a plus de 10 ans ! Pour rentrer un peu plus dans les détails, il est possible d'utiliser la fonctionnalité Selective Acknowledgement (SACK) conjointement à une taille de segment minimum (48 octets), et squalala, une certaine combinaison de paquets permet de provoquer un dépassement de capacité du tampon recevant les requêtes, ce qui déclenche une erreur du noyau et la paralysie de la machine. Ouille/

Des rustines sont déjà disponibles chez Ubuntu, RedHat et OpenSUSE par exemple, et il est plus que conseillé de les appliquer au vu de la vague de DDoS prévue suite à la publication prochaine d'une preuve de concept exploitant ce trou de sécurité. A vos pare-feu, sortez couverts ! (Source : Unit41)