Ubuntu : correction d’une faille critique pour le logiciel de rapport de plantages (Python Crashstrictor)

Excepté en exercice de style, il ne ressort rien de positif d’un crash, dans quelques domaines que cela soit : c’est Ubuntu qui nous le prouve via une faille critique colmatée la semaine dernière au sein d’Apport et découverte depuis 2012…

 

Mise en lumière récemment par Donncha O’Cearbhaill, cette faille qualifiée de critique par Ubuntu a fort heureusement déjà un correctif de déployé. Baptisée CVE-2016-9949, elle affecte toute les versions de la distribution depuis la 12.10 et prenait sa source dans une faille présente depuis 4 ans au sein d’Ubuntu, dans « Apport ».

 

Comme démontré via le PoC (cf. vidéo), la vulnérabilité se servait de la fonction de rapport de plantage pour confondre sa victime via une injection arbitraire de code (Python) dans le fichier de crash ainsi contaminé. Toutefois, son découvreur note un point important et non des moindres : l’activation du code malicieux implique obligatoirement une action de l’utilisateur (« report problem… » ou « show details »). Il est à noter que deux autres vulnérabilités (CVE-2016-9950 – exécution possible d’un code malveillant via « Package » et « SourcePackage » – et CVE-2016-9951 – bouton « relaunch » / « relancer » masqué lors de l’ouverture d’Apport – associées à la 9949 permettent un accroissement potentiel de la faille d’Apport).

Corrigée le 14 Décembre dernier, cette brèche sécuritaire aurait été officiellement reconnue depuis le 9 Décembre 2016, côté Ubuntu. Bien évidemment et si ce n’est déjà le cas, veillez au plus vite à mettre à jour Ubuntu… A suivre !

 

Pour plus d’info’ : le PoC sur GitHub.com !

 

Source : Billet de Décembre 2016 du blog de Donnacha O’Cearbhaill.