www.virtuelnet.net :: Hébergement libre sur serveurs libres - La réputation de fiabilité des systèmes Linux mise à mal

Trois failles de sécurité ont été découvertes et aussitôt corrigées, dans les systèmes d'exploitation à base de noyau Linux. Parallèlement, une étude britannique révèle que les serveurs Linux sont de plus en plus percés par des attaques à distance.

Trois nouvelles failles de sécurité ont été décelées dans les principaux noyaux Linux. Elles pourraient être exploitées par un utilisateur malintentionné pour s'accaparer les privilèges administrateur, aussi bien sur des serveurs que des postes clients.

Deux des vulnérabilités concernent la manière dont le Kernel contrôle la mémoire du système. Selon la société polonaise iSEC Security Research qui les a découvertes, elles touchent les versions en cours de Linux (2.2 à 2.2.25, 2.4 à 2.4.24 et 2.6 à 2.6.2). La troisième faille intervient au niveau de la gestion des cartes vidéo Rage 128 d'ATI Technologie. Dans tous les cas, l'exploitation de ces trous de sécurité nécessite de disposer d'un accès physique à la machine. Il ne s'agit pas de prise de contrôle à distance.

Parce que des systèmes Linux équipent de plus en plus fréquemment des serveurs partagés, les failles qui permettent à un utilisateur d'accroître ses privilèges sont à prendre au sérieux. Cependant elles ne sont pas aussi critiques que celles autorisant la prise de contrôle d'ordinateurs à distance, a-t-il tenu à préciser. Aussitôt découvertes, ces failles ont été résorbées. Les distributeurs d'OS à base de noyau Linux, dont Suse, Red Hat ou Debian ont ainsi chacun publié leurs correctifs. De leur côté, les responsables du noyau Linux ont mis en ligne la version 2.2.25 du Kernel, qui corrige également ces vulnérabilités.

Si ces failles nécessitent donc un accès physique au poste, une étude de la société de sécurité informatique britannique mi2g estime que "Linux est devenu, pour la première, fois l'OS serveur le plus percé à jour par des attaques distantes, alors que le nombre d'intrusions réussies contre les serveurs basés sur Windows se sont réduites graduellement, sur les dix derniers mois."

L'analyse, publiée en janvier, a été menée sur des parcs informatiques gouvernementaux et privés, majoritairement équipés de serveurs Windows. Elle a recensé 13.654 attaques réussies sur des serveurs Linux, contre 2.005 sur des plates-formes Windows.

L'étude de mi2g conclut alors que les systèmes d'exploitation pour serveurs les plus sûrs au monde sont ceux de la famille BSD (Berkeley Software Distribution), dérivés de la version d'Unix développée à l'université californienne de Berkeley dont le code est ouvert, ainsi que Mac OS X, le système équipant les ordinateurs d'Apple.

Source: ZDNet