GHOST, c’est l’histoire d’une faille corrigée en 2013 qui ressurgit 18 mois plus tard. Découverte par Qualys (une société spécialisée dans la sécurité), cette vulnérabilité « CVE-2015-0235 » est en effet présente dans la bibliothèque C de GNU/Linux (glibc) depuis la version 2.2 publiée en novembre 2000. Mais elle a déjà été corrigée via un patch publié en mai 2013, soit entre les versions 2.17 et 2.18 de glibc. Dans ce cas, pourquoi est-elle devenue d’un coup si inquiétante ?
Tout simplement parce que lors de la publication du correctif, celui-ci n’a pas été classé comme bulletin de sécurité. Du coup, la majorité des distributions stables et bénéficiant d’un support à long terme (par exemple Debian 7, Red Hat Enterprise Linux 5, 6 et 7, CentOS 6 et 7 ou encore Ubuntu 12.04) sont exposées à cette faille sévère. Car le risque est bien réel : à cause d’un dépassement de mémoire tampon (ou « buffer overflow »), GHOST autorise l’exécution de code à distance, et donc l’exploitation d’une machine par un pirate.
Présente dans la fonction __nss_hostname_digits_dots() de glibc, elle-même utilisée par les fonctions gethostbyname() et gethostbyname2() (d’où le nom de la faille, je vois que vous suivez), cette vulnérabilité permet à un utilisateur malintentionné d’obtenir un accès complet à une machine, simplement en envoyant un mail ! Les serveurs de messagerie sont donc particulièrement visés, mais également les modems-routeurs ainsi que les NAS. La bibliothèque glibc est en effet utilisée dans tous les systèmes informatiques fonctionnant sous Linux, ce qui fait autant d’appareils potentiellement vulnérables (s’ils ne sont pas à jour), même si cette faille apparait à priori moins grave que Shellshock ou Heartbleed car plus difficile à exploiter. Les différents éditeurs comme Red Hat sont tout de même déjà en train de publier des patchs pour leurs systèmes, tout comme certains constructeurs de NAS.
Plusieurs questions restent tout de même en suspend : pourquoi cette faille n’a pas été classée comme critique en 2013, ce qui aurait obligé les éditeurs à mettre à jour leurs distributions avec un support long terme ? Et pourquoi continuer à utiliser des fonctions dépassées – elles ne permettent pas de faire de l’IPv6 – et qui devraient depuis longtemps être remplacées par getaddrinfo(), comme l’expliquent certains chercheurs ?
