Noyau Linux et CVE

Le noyau Linux est le composant central du système. Une vulnérabilité à ce niveau peut permettre une élévation de privilèges ou une compromission complète.

CVE

Une CVE, pour Common Vulnerabilities and Exposures, est un identifiant standardisé attribué à une vulnérabilité.

CVE-2016-5195

Les CVE facilitent le suivi des failles, correctifs et risques.

Exemple : Dirty COW

Dirty COW, ou CVE-2016-5195, est une vulnérabilité critique du noyau Linux liée au mécanisme Copy-On-Write.

Copy-On-Write permet à plusieurs processus de partager une même zone mémoire jusqu'à ce qu'une modification nécessite une copie. Dirty COW exploitait un problème de synchronisation dans ce mécanisme.

Impacts possibles :

• modification de données protégées
• altération de fichiers système
• élévation de privilèges
• compromission complète

Se protéger

Vérifier la version du noyau :

uname -r

Mettre à jour :

sudo apt update
sudo apt upgrade

Mesures complémentaires :

• appliquer rapidement les correctifs
• limiter les privilèges utilisateurs
• surveiller les bulletins éditeurs
• maintenir un inventaire des versions

Prudence avec les PoC

Les preuves de concept publiées en ligne peuvent aider à comprendre une faille, mais elles peuvent aussi être dangereuses.

Prioriser une CVE

Une CVE noyau doit être évaluée selon :

• version réellement installée
• correctif disponible
• exploitation locale ou distante
• privilèges nécessaires
• exposition du système
• actifs concernés
• compensations possibles

Une CVE critique sur un serveur exposé n'a pas le même traitement qu'une CVE non exploitable dans le contexte.

Gestion opérationnelle

• inventorier les versions
• surveiller les bulletins de sécurité
• planifier les redémarrages
• tester les mises à jour critiques
• garder un plan de retour arrière
• vérifier après redémarrage