Venom, une faille zero day empoisonne des millions de machines virtuelles.


Des experts en sécurité ont découvert une faille zero day dans une fonctionnalité de disquette virtuelle (vieille de 10 ans) présente sur les hyperviseurs Xen, KVM , VirtualBox d’Oracle QEMU.

Le nom est fait pour intimider. VENOM, venin en anglais. Derrière cet acronyme qui signifie Virtualized Environment Neglected Operations Manipulation (que l’on pourrait traduire par Opérations de manipulation d’une négligence sur les environnements virtualisés) se cache une vulnérabilité découverte par un expert en sécurité de la société CrowdStrike. Jason Geffner a donc trouvé une faille de type zero day en menant une analyse de sécurité sur différentes hyperviseurs.

Le coupable est l’hyperviseur Open Source QEMU (Quick Emulator) et plus exactement dans le contrôleur de disquette virtuelle (floppy disk controller). Cette fonction existe depuis 2004 et elle présente par défaut sur les hyperviseurs KVM, Xen ainsi que sur Oracle VirtualBox. Cela représente une surface d’attaques de plusieurs millions de machines virtuelles qui tournent aujourd’hui dans le monde, sur des serveurs, des appliances ou dans le Cloud. La faille est considérée comme critique pouvant mettre à genoux des fournisseurs de Cloud ou des datacenters d’entreprises.

Pour Jason Geffner, Venom est unique, car elle touche plusieurs types de plateformes de virtualisation (à l’exception de VMware et Hyper-V), elle est agnostique sur les OS (Linux, Windows, Mac OS, etc) et elle permet d’exécuter directement du code arbitraire dans la VM.

Déborder la mémoire du contrôleur :

Concrètement, CrowdStrike explique que l’OS invité communique avec le FDC (Floppy Disk Controller) en envoyant des commandes telles que rechercher, lire, écrire, format, etc., au port d’entrée / sortie du contrôleur. Le FDC virtuel de QEMU s’appuie sur une mémoire tampon de capacité fixe pour stocker les commandes et les paramètres associés. Après chaque commande, cette mémoire est effacée à l’exception de deux commandes prédéfinies. Dès lors, un attaquant peut envoyer des commandes particulières pour déborder cette mémoire tampon et exécuter du code malveillant dans l’hyperviseur. (cf schéma ci-dessous).


Les conséquences sont multiples, vol de propriété intellectuelle, fuite de données sensibles et personnelles, etc. A priori, cette faille n’a pas été exploitée souligne Jason Geffner, mais nécessite d’appliquer rapidement des patchs disponibles. Sur son site, CrowdStrike donne deux liens redirigeant vers les correctifs. Pour QEMU Project, et pour Xen Project, rien n’a été donné pour les solutions KVM.

Plus puissant que Heartbleed ?

Avec la découverte de VENOM, les rapprochements avec Heartbleed (faille dans la librairie de chiffrement OpenSSL) n’ont pas manqué. Jason Geffner a indiqué à nos confrères de Zdnet que « Heartbleed permettait à un attaquant de regarder à travers la fenêtre d’une maison et de recueillir des informations sur la base de ce qu’ils voient. Venom permet de tout casser dans la maison, mais aussi de détruire les maisons du voisinage ».

Le point commun avec Heartbleed est que Venom pose une nouvelle fois la question de la sécurité du code des solutions Open Source. Avec Heartbleed, des fonds ont été alloués par les grands acteurs IT pour mener des audits et améliorer la sécurité des projets Open Source.

Les logiciels open sources de plus en plus adoptés par les entreprises

À l’issue d’un sondage effectué auprès de 1300 professionnels et DSI, la firme Black Duck Software et le fonds d’investissement North Bridge ont soutenu que la majeure partie des entreprises utilisent des solutions Open sources pour gérer leurs activités, mais en ignorent la valeur ajoutée.

Black Duck Software

Via cette enquête qui s’appuie essentiellement sur le comportement des entreprises envers l’Open source depuis l’année 2010, Black Duck Software et le fonds d’investissement North Bridge confirment que les logiciels libres et Open sources sont en train de monter en puissance au sein des entreprises. Selon eux, 78 % des entreprises consultées ont déclaré intégrer ces logiciels dans leurs activités et les deux tiers affirment fournir des solutions reposant sur un socle Open source à leurs clients. Il convient de rappeler que le taux de pénétration des solutions Open source dans les entreprises était évalué à 42 % en 2010.

Par ailleurs, malgré ce fort recours à l’Open source, les enquêteurs précisent que les entreprises ne formalisent pas toujours cette démarche d’adoption de l’Open source, entraînant ainsi un véritable problème de gestion des risques et de maintenance.

Par rapport à la tendance observée sur le comportement des entreprises dans l’utilisation de l’Open source, Black Duck Software et le fonds d’investissement North Bridge affirment que sur les deux ou trois prochaines années, l’impact de l’Open source pourrait être matérialisé comme suit : le Cloud Computing (39 % des répondants), le Big Data (35 %), les Systèmes d’Exploitation (33 %) et l’Internet des objets (31 %).

L’étude montre également qu’en 2015, 64 % des organisations contribuent à la réalisation de projets Open source soit une progression de 14 points en cinq ans. Sur cette même lancée, 88 % des entreprises affirment avoir la volonté de soutenir des projets Open source d’ici l’horizon 2018.

Open source 2015

Une partie très importante de l’enquête est consacrée au choix des logiciels. En effet, 66 % des entreprises affirment que leur choix porte en premier sur les solutions Open sources, car ces dernières apportent une garantie en matière de sécurité contrairement aux logiciels prioritaires. Toutefois, les chercheurs ont précisé que près de 50 % des personnes auditionnées ont reconnu l’insuffisance de compréhension des faiblesses ou vulnérabilités liées aux solutions Open sources par les entreprises.

Black Duck Software et le fonds d’investissement North Bridge ont également soulevé le fait que la plupart des entreprises ne disposent pas d’une politique formalisée relative à l’utilisation des solutions Open sources (55 % des répondants). En effet, seuls 42 % des entreprises assurent l’inventaire des composants Open sources et 27 % « encadrent » les contributions de leurs employés à des projets Open sources.

Pour rappel, Black Duck Software est l’une des principales entreprises du monde spécialisées dans la fourniture de produits et services visant à promouvoir le développement des logiciels grâce à l’utilisation encadrée de codes sources ouverts (Open sources).

Source : Black Duck Software

Debian 8 Jessie est la nouvelle branche stable de cette distribution GNU/Linux à vocation universelle. Au programme : de nombreux paquets mis à jour, deux nouvelles architectures prises en charge, le retour à l’environnement de bureau Gnome et le passage à systemd comme initialisation par défaut.

Deux ans après Wheezy, Jessie prend le relais : Debian 8 est désormais considérée comme la nouvelle branche stable, disponible au téléchargement depuis samedi. Les ambitions du projet restent inchangées : proposer une distribution robuste, particulièrement stable, susceptible de servir de socle à d’autres environnements et, surtout, capable de fonctionner aussi bien sur des machines individuelles que dans un datacenter.

Debian 8 confirme notamment le passage à systemd, le système d’initialisation introduit au sein de la version 7. Bien qu’il n’ait pas que des partisans au sein de la communauté Debian, systemd a été retenu pour ses capacités avancées en matière de surveillance et de gestion de services, indique l’équipe en charge du projet. Sysvinit, le précédent système d’initialisation, reste cependant disponible.

Jessie est aussi l’occasion de tirer un trait sur l’obsolète protocole SSLv3, désactivé au sein de cette nouvelle branche. Les applications et les bibliothèques qui l’exploitaient ont toutes été mises à jour en conséquence. Debian se dote également de nouveaux outils chargés d’alerter en cas de paquet insuffisamment maintenu sur le plan de la sécurité, ou de veiller au bon redémarrage de services reposant sur des paquets mis à jour.

Debian s’ouvre à arm64

L’équipe Debian annonce une gestion améliorée de l’UEFI (Unified Extensible Firmware Interface) qui devrait, entre autres, se traduire par une installation simplifiée sur les ordinateurs Mac à processeur Intel. Le système couvre désormais dix architectures matérielles différentes, avec l’ouverture à arm64 et ppc64el. A l’inverse, il tire un trait sur les vieillissantes ia64 (Itanium) et s390 (System z).

Debian 8 est enfin l’occasion de mettre à jour de très nombreux paquets, avec la promesse de logiciels et de composants sélectionnés pour leur compatibilité et leur stabilité. Autour du noyau Linux (3.16), on retrouve ainsi LibreOffice 4.3.3, Iceweasel et Icedove 31.6.0 (les équivalents sans marque de Firefox et Thunderbird), l’hyperviseur Xen 4.4.1 ou GIMP 2.8.14. Aux côtés de MySQL 5.5.42 figurent MariaDB 10.0.16 et PostgreSQL 9.4.1 tandis qu’Apache passe en 2.4.10.

Gnome 3.14 redevient l’environnement de bureau par défaut, mais les alternatives classiques restent de la partie, avec la possibilité d’installer sans encombre Xfce 4.10, LXDE ou KDE et les applications Plasma.

Cette sortie s’accompagne enfin d’un service en ligne dédié à la navigation au sein du code source de la distribution, associé à un nouveau moteur de recherche, indispensable pour compulser les quelque 130 Go de documents que représente l’ensemble.

Pour voir l’intégralité des nouveautés, c’est par ici:

https://www.debian.org/releases/jessie/amd64/release-notes/ch-whats-new.en.html#idp149264

Linux 4.0 :

Nouvelle version majeure pour le noyau Open Source Linux. La mouture 4.0 de cette offre introduit la possibilité d’appliquer des patches à chaud sur le kernel.

Linux 4.0Linus Torvalds vient d’officialiser la sortie du noyau Linux 4.0 ‘Hurr durr I’ma sheep’, une version qui apporte quelques nouveautés bienvenues.À commencer par la possibilité d’appliquer des correctifs à chaud au noyau Linux. Un mélange de Kpatch (Red Hat) et kGraft (SUSE) qui devrait ravir les administrateurs de systèmes critiques, puisqu’il permettra de limiter les redémarrages des serveurs. Cette fonctionnalité devrait monter en puissance avec les futures versions de Linux.

Le support processeur s’élargit pour prendre en compte le SoC Quark d’Intel, le mainframe IBM z13 et une foule de nouvelles puces ARM, 64 bits pour la plupart. À noter également, de larges progrès réalisés sur la partie graphique, en particulier avec les GPU Radeon d’AMD.

Du lourd pour la 4.1

Linux 4.1 pourrait être l’une des plus importantes mises à jour du kernel de ces dernières années. « Linux 4.0 était une petite release, à la fois dans linux-next (dossier renfermant les soumissions de code pour la prochaine version de l’OS, NDLR) et en taille finale, constate Linus Torvalds. À en juger par linux-next v4.1, Linux 4.1 sera l’une des plus grosses sorties. »

Le code assembleur x86 sera ainsi entièrement nettoyé. Un changement de taille (plus de 100 modifications séparées) qui permettra de disposer d’un code plus clair, plus rapide et plus facile à gérer.

Autres nouveautés attendues : TraceFS, qui remplacera DebugFS ; KDBus, une intégration de D-Bus directement dans le kernel ; la gestion de la RAM non volatile PMEM ; le support de nouveaux SoC Intel, les Atom Broxton (prévus pour 2016), etc.