Le service systemd-journald a été trouvé être affecté par deux vulnérabilités dangereuses qui sont suivies dans les CVE-2018-16865 et CVE-2018-16866 des avis. En les exploitant, les criminels informatiques peuvent manipuler la mémoire et de prendre le contrôle des machines. Aujourd'hui sytemd-journald est l'un des éléments clés de la plupart des systèmes Linux modernes. Ceci est la raison tout le monde doit appliquer tous les correctifs de logiciels pour vous assurer qu'ils sont protégés contre les attaques possibles.
Systemd-journald sous la menace, Proof-of-Concept Exploit disponible
Un grave problème vient d'être signalé d'affecter l'un des éléments clés de la plupart des systèmes Linux aujourd'hui - le service de journal systemd qui est appelé systemd-journald. Ceci est le service de journalisation utilisé par systemd, sa tâche principale est de recueillir et date de connexion du magasin en maintenant un journal structuré. Il peut interagir avec une variété de sources, y compris telles que les suivantes:
- les messages du journal du noyau, via kmsg
- messages du journal système simple
- messages du journal système structuré via l'API native Journal
- sortie standard et l'erreur standard des unités de service
- Les enregistrements d'audit, provenant du sous-système d'audit du noyau
En tant que tel les vulnérabilités qui affectent le service peuvent causer des dommages graves aux machines victimes. La première vulnérabilité en question est CVE-2018-16865 et il est décrit comme suit:
Une allocation de mémoire sans limites, qui pourraient résulter de la pile se heurtant avec une autre zone de mémoire, a été découvert dans systemd-journald lorsque plusieurs entrées sont envoyées à la prise de revue. Un attaquant local, ou une distance si la revue à distance systemd est utilisé, peut utiliser cette faille pour planter systemd-journald ou exécuter du code avec les privilèges journald. Versions par V240 sont vulnérables.
Il est encore en cours d'analyse et représente une menace directe pour les ordinateurs vulnérables. Pratiquement tout code malveillant, que ce soit un script ou un programme autonome qui peut interagir avec l'ordinateur de cette façon peut bloquer la machine. Les autres actions malveillantes est d'exécuter directement code malveillant avec les privilèges journald.
La seconde permet d'exploiter l'exposition de la mémoire et est suivie dans CVE-2018-16866 qui est affiché avec le decsription suivant:
Un hors des limites lire a été découvert en systemd-journald dans la façon dont il traite les messages du journal qui se terminent par deux points «:». Un attaquant local peut utiliser cette faille de divulguer des données de mémoire de processus.
L'exploitation réussie repose encore une fois sur le code malveillant local qui doit être exécuté. Un moyen facile est de faire automatiquement par une charge utile tombé par un virus. Il y a plusieurs façons de faire en sorte que la perturbation du système en utilisant ces deux faiblesses et tous les utilisateurs sont invités à mettre à jour leurs systèmes le plus rapidement possible afin d'éviter tout abus.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: