Skip to main content
Voir tous les produits
Calcul
Stockage
Databases
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    51
  2. Calcul
    24
  3. Conteneurs (Kubernetes, Docker)
    34
  4. Databases
    21
  5. Outils pour les développeurs
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    32
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    60
  13. Stockage
    23
Auteurs 55
  1. Alex Leung 2
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Stuart Macleod 1
  49. Shawn Michels 1
  50. Linode Support 14
  51. Tom Asaro 18
  52. Travis Baka 2
  53. Talia Nassi 12
  54. Tim Vereecke 1
  55. Yuri Goldfeld 1
BlogSécuritéDigest de sécurité Linode 23-29 mai 2022

Digest de sécurité Linode 23-29 mai 2022

Linode
The Linode Security Team
26 mai 2022
Digest de sécurité Linode

Parmi les sujets abordés dans le bulletin hebdomadaire, citons une situation de course dans le sous-système Linux Perf, un déni de service dans BIND et un calculateur d'évaluation des risques basé sur la méthode d'évaluation des risques de l'OWASP.

Condition de course dans le sous-système Perf de Linux

Le sous-système Perf de Linux est un sous-système basé sur le noyau qui fournit un cadre pour l'analyse et la surveillance des performances matérielles et logicielles. Il a été intégré au noyau Linux dans la version 2.6.31 et dispose d'un utilitaire utilisateur (perf) qui s'interface avec le sous-système du noyau. L'outil perf de l'espace utilisateur peut enregistrer, compter,b et échantillonner les événements matériels (changements de contexte et instructions exécutées par les registres du CPU) et les événements logiciels (par le biais de compteurs logiciels et de tracepoints).

La vulnérabilité CVE-2022-1729 classée CWE-362 est une condition de course dans le syscall perf_event_open et a été découverte par Norbert Slusarek. Selon la page de manuel, "Un appel à perf_event_open() crée un descripteur de fichier qui permet de mesurer les informations de performance. Chaque descripteur de fichier correspond à un événement qui est mesuré ; ces descripteurs peuvent être regroupés pour mesurer plusieurs événements simultanément."

La condition de course semble être présente depuis le noyau v4.0-rc1, et pourrait entraîner une élévation de privilèges et une exécution de code arbitraire. Le correctif pour cette vulnérabilité fait partie du cycle de publication du noyau Linux 5.17.10-rc1.

En outre, une méthode d'atténuation proposée par RedHat consiste à définir la variable kernel.perf_event_paranoid sur "3" via sysctl, afin d'empêcher les utilisateurs non privilégiés d'accéder au sous-système Perf dans le noyau. 

Déni de service dans BIND

L'ISC a publié la semaine dernière un avis de sécurité concernant une vulnérabilité de haute sévérité affectant les versions 9.18.0 à 9.18.2 de BIND et la version 9.19.0 de la branche de développement 9.19. La vulnérabilité, découverte à l'origine par Thomas Amgarten, est exploitable via un réseau et l'ISC lui a attribué un score CVSS de 7.0.

Une exploitation réussie dans certaines circonstances fait que le démon nommé se termine avec un échec d'assertion (conduisant à un déni de service) si une connexion TLS du client à l'auditeur TLS http est détruite trop tôt. Les systèmes vulnérables sont constitués de serveurs BIND dont le DNS over HTTPS est activé et qui incluent une référence à http dans les instructions listen-on de leurs configurations nommées. Les configurations utilisant uniquement DNS over TLS ne sont pas affectées par cette vulnérabilité selon l'avis. 

Actuellement, aucune solution de contournement n'est connue, mais ISC a conseillé de mettre à jour vers la version 9.18.3 sur la branche stable et la version 9.19.1 sur la branche de développement, respectivement, afin d'atténuer le problème.

Calculateur d'évaluation des risques

Dans le cycle de vie de la gestion des vulnérabilités, il est important d'estimer l'impact technique et commercial associé aux nouvelles vulnérabilités susceptibles d'affecter l'infrastructure d'une organisation. 

Les méthodes d'évaluation des risques prennent en compte différents facteurs tels que la probabilité d'exploitation, le niveau de compétence de l'adversaire et la facilité de découverte, pour n'en citer que quelques-uns. 

L'une de ces méthodes, proposée par l'OWASP, calcule la gravité globale du risque sur la base de ces facteurs.

Un calculateur d' évaluation des risques, conçu par Ivan Markovic et basé sur la méthodologie d'évaluation des risques de l'OWASP, est disponible en tant qu'outil open source. Le risque est calculé comme suit :

Risque = Probabilité * Impact

Dans la formule ci-dessus, la probabilité d'exploitation dépend d'un certain nombre de facteurs qui prennent en compte des considérations pertinentes :

  • Agent de la menace : niveau de compétence, motif, opportunité et taille des acteurs de la menace.
  • Facteurs de vulnérabilité : facilité de découverte et d'exploitation, connaissance de la vulnérabilité et détection de l'exploitation par un système de détection d'intrusion.

De même, les facteurs affectant l'impact global d'une vulnérabilité sont les suivants :

  • Facteurs d'impact technique : perte de confidentialité, d'intégrité, de disponibilité et de responsabilité des actions d'un acteur de la menace.
  • Facteurs commerciaux : dommages financiers et de réputation, non-conformité et violations de la vie privée.

Ainsi, le score de risque global d'une vulnérabilité permet aux propriétaires de prendre une décision en connaissance de cause et les aide à prioriser les correctifs.

Le code source du calculateur est disponible sur github, et plus de détails sur la méthodologie d'évaluation des risques de l'OWASP sont disponibles ici.

Vous pourriez aussi aimer...

Automatisation de la conformité avec Harry.

Outils d'automatisation de la conformité expliqués | Protection des données et des clients

Dans cette vidéo, Harry explique l'importance de l'automatisation de la conformité et montre comment utiliser des outils d'automatisation de la conformité tels que Chef.
Sécurité
Comment se protéger des attaques de ransomware avec Steve Winterfeld, image principale.

Comment se protéger des attaques de ransomware | Steve Winterfeld, Akamai

Dans cette vidéo, Steve Winterfeld, RSSI consultatif chez Akamai, donne des conseils sur la manière dont les entreprises peuvent se protéger contre les attaques de ransomware.
Sécurité
Wazuh est une centrale de cybersécurité où l'on retrouve Code with Harry.

Wazuh est une centrale de cybersécurité - Expert en sécurité Open Source Monitoring & Response

@CodeWithHarry couvre Wazuh, une plateforme de sécurité open-source utilisée pour la collecte et l'analyse de données de sécurité.
Sécurité

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.