Archive pour 3 mars 2021

Linux Mint presse les utilisateurs à actualiser leur distribution

Mercredi 3 mars 2021

Une partie des utilisateurs de Linux Mint n’appliquent pas les mises à jour de sécurité et certains se servent encore d’une version ayant atteint la fin de son cycle de vie. Le créateur de cette distribution Linux réputée facile d’emploi s’en inquiète.

« Les mises à jour de sécurité sont très importantes. Les statistiques nous disent qu’elles ne sont pas appliquées par tous les utilisateurs. Appliquer les mises à jour maintenant ! N’utilisez pas de version de Linux Mint en fin de vie ». C’est par ces injonctions rappelant les fondamentaux de sécurité que Clément Lefèbvre, le créateur de cette distribution Linux, a alerté ses utilisateurs la semaine dernière dans un billet de blog. Pour s’assurer que ses recommandations pressantes soient bien lues, il les fait précéder de la mention TLDR (too long ; didn’t read) pour attirer l’attention des moins patients.

Car c’est un avertissement de sécurité qu’il délivre ici en s’inquiétant de voir certains utilisateurs de Mint négliger l’application des correctifs qui protègent des attaques locales ou distantes et des malwares. Or, argue-t-il, la distribution fournit « l’un des meilleurs gestionnaires de mises à jour », « très simple à utiliser », qui facilite la procédure et peut automatiser les updates. Sans oublier l’outil Timeshift, installé à partir de la version 18.3, qui permet de créer des snapshots permettant de restaurer la configuration précédente de la distribution pour annuler les effets de la mise à jour en cas de problème.

Linux Mint 17.x toujours utilisée mais plus supportée depuis 2019

Comment l’équipe de Linux Mint sait-elle qu’il y a un défaut d’actualisation chez ses utilisateurs alors qu’elle ne récupère aucune métrique auprès d’eux. Les statistiques viennent ici de Yahoo. « Après que nous ayons mis à jour Firefox 85, nous avons demandé à Yahoo de nous donner une répartition du trafic Linux Mint par agent utilisateur ». Ces statistiques ne couvrent que les personnes qui se servent de Yahoo mais elles donnent un aperçu de la situation. « Nous avons pu constater que seuls 30% des utilisateurs ont mis à jour leur navigateur web en moins d’une semaine », indique Clément Lefèbvre. Ces statistiques montrent aussi que d’autres postes s’appuyant sur des versions récentes de Linux Mint n’appliquent aucun update. « Par exemple, une partie utilise Firefox 77 qui a été livré avec Linux Mint 20 ».

Par ailleurs, en croisant deux sources, d’autres chiffres montrent que certains utilisateurs se servent encore de Linux Mint 17.x. Or, cette version a atteint la fin de son cycle de vie en avril 2019 et ne reçoit plus aucune mise à jour de sécurité depuis près de 2 ans maintenant, pointe le créateur de la distribution. « Si vous utilisez toujours Linux Mint 17.x, vous devez faire un backup de vos données et réinstaller une version moderne aussi vite que possible », enjoint-il. Un message d’alerte pour mettre à jour Firefox est envoyée aux utilisateurs concernés.

A l’avenir, le rappel des updates pourra se faire insistant

Pour tenter de remédier à cette situation à l’avenir, Linux Mint cherche à améliorer encore son gestionnaire de mise à jour. Dans certains cas, il viendra rappeler aux utilisateurs d’appliquer les updates et même, dans les cas particuliers, insister pour qu’elles soient faites, prévient Clément Lefèbvre dans un billet posté il y a deux jours. La dernière version de Linux Mint est la 20.1. Elle sera supportée jusqu’en avril 2025.

Source lemondeinformatique.fr

 

Des exploits Linux et Windows utilisant la faille Spectre découverts

Mercredi 3 mars 2021

Après avoir fait trembler la planète IT en 2018, la faille Spectre refait parler d’elle. Deux exploits Linux et Windows mal camouflés dans un outil de test d’intrusion met potentiellement à risque les systèmes utilisant d’anciens processeurs non corrigés.

La faille Spectre découverte en janvier 2018 avait affecté un très grand nombre de processeurs Intel, AMD, ARM mais également Oracle et IBM. (crédit : D.R.)

 

L’ombre de Spectre plane. Après avoir semé la panique chez les fabricants de puces tout au long du premier semestre 2018, cette vulnérabilité refait parler d’elle. Un chercheur français en sécurité, Julien Voisin, raconte dans un billet de blog avoir découvert deux exploits de Spectre. Une nouvelle qui n’est pas à prendre à la légère quand on sait qu’à l’origine, cette faille est liée à une erreur de conception au sein de la mémoire protégée du noyau (kernel) permettant un accès malveillant à des données en mémoire tampon. Si les fabricants et designers de puces (Intel, AMD, ARM, Oracle, IBM…) ont depuis palier la situation en mettant à jour leurs puces, les plus anciennes (à partir de 1995) dont les correctifs n’ont pas été appliqués, sont à risque.

Les deux exploits Spectre révélés par Julien Voisin sont loin d’être cachés dans les tréfonds du dark web, mais au contraire répertoriés dans la base de données de la plateforme d’analyse de malware VirusTotal. Le chercheur en sécurité indique avoir testé avec succès cet exploit sur un système Fedora permettant de vider le contenu de /etc/shadow, un fichier Linux qui stocke les informations de comptes utilisateurs du système d’exploitation. Outre Linux, un exploit pour Windows a aussi été trouvé.

Des exploits logés dans un outil de pen test d’Immunity

Alors comment un tel exploit a pu se retrouver dans une base de données d’un éditeur de sécurité en accès libre ? D’après HackerNews, cet exploit serait en fait utilisé en tant que module intégré à l’outil de test de pénétration Canvas, développé par Immunity. Dans un tweet, l’ancien CEO de cette société rachetée en 2019 par Cyxtera Technologies, Dave Aitel, laisse d’ailleurs présumer que la découverte de Julien Voisin est bien liée au module Canvas Spectre. Les liens vers ces deux exploits ont été téléchargés le mois dernier dans la base de VirusTotal, englobés dans le fichier d’installation 7.26 pour Windows et Linux de Canvas d’Immunity. Comme quoi le remède peut parfois être plus néfaste que le mal lui même…

Source lemondeinformatique.fr