Compromission des systèmes « GNU/LINUX » possible via KDE.

Par Xavier Poli, secuobs.com
Le 24/01/2006

---

Résumé : L'exploitation réussie de cette faille permet de provoquer un dépassement de tampon résultant sur un Déni de Service (DoS) et la possible exécution de code arbitraire afin de compromettre votre système. - Lire l'article



Les environnements graphiques sous les systèmes d'exploitation de type « GNU/LINUX » se comptent en général au nombre de deux lorsqu'un débutant doit faire ce choix. Les plus populaires sont Gnome pour son interface stylée & KDE pour sa simplicité d'utilisation (cf. ci-dessous).

Ce dernier facilite grandement la transition entre les systèmes « Windows » et les systèmes « GNU/LINUX », sa nette ressemblance avec l'interface graphique des premiers permet aux nouveaux utilisateurs de ne pas se sentir trop dépaysés ; c'était d'ailleurs généralement un des premiers arguments utilisés pour prouver que « GNU/LINUX », ça pouvait aussi être facile.

C'est un fait, KDE est très populaire chez les néophytes bien qu'offrant de nombreuses fonctions. Les plus expérimentés d'entre vous lui préfèrerant par la suite des interfaces plus "complexes" comme Enlightenment ou moins lourdes comme WindowMaker, voir la console pour les puristes de la première heure.

C'est cette place de choix qui fait que l'on puisse s'inquiéter aujourd'hui de la diffusion d'une nouvelle faille affectant KDE ; inquiétude légitime puisque cette faille vient d'être classifiée comme « hautement critique » par la plupart de nos confrères. Elle trouve son origine dans l'interpréteur Javascript de KDE, KJS et se caractérise par une erreur de limitation de "frontière" dûe à une mauvaise gestion du décodage des URL encodée avec UTF-8.

L'UTF-8 est un format de transformation unicode UTF (UCS Transformation Agent), la transmission de ce format est effectuée sur des octets de 8 bits utiles. L'UTF permet cette transmission sur des utilisations comme l'échange d'emails ou les messages postés sur les newsgroups qui comportent toutes les deux des caractères ne faisant pas partis de l'UCS (Universal Character Set). L'UCS est une table de caractères permettant de représenter le plus grand nombre de langages.

Une personne mal intentionnée pourrait provoquer un dépassement de tampon au niveau de la zone mémoire (Heap) affectée au stockage de données pour une durée indéterminée afin de partager ces données entre les applications.

L'exploitation réussie de cette faille permet à ce même attaquant de provoquer un Déni de Service (DoS) via l'envoi de code Javascript spécifiquement forgé rendant impossible les usages réguliers. Il est surtout possible d'exécuter du code arbitraire sur votre machine via le « Buffer Overflow » afin d'en compromettre le système de votre machine, d'où la classification précédemment citée.

Le principe du dépassement, réside dans le fait de dépasser la taille allouée pour un bloc mémoire afin d'écraser les données contenues dans une variable par le reliquat de données généré lors du dépassement. On peut trouver différents types de débordement, le plus courant étant le « Buffer Overflow » basé sur la « Stack » ou pile mémoire.

Contrairement au « Heap Overflow » le « Stack Overflow » est facilité par la mise à disposition de l'état de la pile à un moment donné et voulu via des outils comme GDB par exemple ; l'exploitation d'un « Heap Overflow » est plus ardue et nécessite une connaissance plus importante du fonctionnement global du système.

Toutes les applications utilisant les versions de KJS comprises entre la 3.2.0 et la 3.2.5 sont vulnérables à cette possible haute compromission, notamment le navigateur web Konqueror. Il est vivement recommandé d'appliquer la mise à jour de sécurité (patch) fournie, par l'équipe de développement du projet KDE, depuis la fin de la semaine dernière ou les versions binaires/packages (rpm, apt, ebuild) mises à dispositions par les différentes « vendeurs » de distribution « GNU/LINUX ».

Vous pourrez trouver le bulletin original sur :

lien

Et les patchs à appliquer sur :

lien ftp externe url:lien pour les versions de KDE comprises entre les 3.4.0/3.5.0

lien ftp externe url:lien pour les versions plus anciennes (3.2.0/3.3.2).