Ces dernières semaines ont été marquées par une forte augmentation des signalements de failles de sécurité dans le noyau Linux. CopyFail, DirtyFrag et Fragnesia ont toutes révélé une faille permettant à un utilisateur malveillant d'élever ses privilèges d'utilisateur standard à ceux de root sur un système, et il est possible que d'autres vulnérabilités soient découvertes ultérieurement. Le projet Fedora s'engage à assurer la sécurité de ses utilisateurs et à corriger les vulnérabilités le plus rapidement possible dès leur divulgation. Voyons donc comment nous procédons. Les récents progrès en apprentissage automatique ont créé une véritable ruée vers l'or pour les chercheurs en sécurité, qui peuvent désormais s'appuyer sur les modèles de langage (LLM) pour analyser d'immenses bases de code comme le noyau Linux et détecter les vulnérabilités à un rythme bien supérieur à celui d'auparavant. Les LLM sont également utilisés pour exploiter ces vulnérabilités une fois découvertes, permettant aux attaquants de réduire considérablement le délai entre la divulgation d'une vulnérabilité et son exploitation (source). Tout cela signifie qu'il est plus important que jamais pour Fedora de disposer d'un processus robuste pour le suivi de ces vulnérabilités et la distribution des correctifs.

Mesures prises par Fedora

Les responsables de paquets Fedora sont informés des nouvelles vulnérabilités de sécurité de plusieurs manières, la plus simple étant par le biais des bulletins de sécurité. De nombreux projets publient leurs mises à jour de sécurité sur des plateformes comme la liste de diffusion oss-security, et plusieurs contributeurs Fedora surveillent ces listes pour détecter les vulnérabilités pertinentes. L'équipe de sécurité des produits Red Hat signale également régulièrement des bogues Bugzilla concernant les paquets Fedora pour les CVE qu'elle suit, permettant ainsi à Fedora de tirer parti du travail effectué pour la prise en charge des clients RHEL. Les mises à jour de sécurité sont généralement intégrées au processus de mise à jour des paquets Fedora. Fedora utilise des outils comme Anitya et Packit pour surveiller les nouvelles versions des paquets amont et préparer automatiquement les mises à jour correspondantes. Cette automatisation contribue, pour toutes les mises à jour, à la réalisation du principe « First » de Fedora, mais elle est particulièrement utile pour les mises à jour de sécurité, dont la publication peut être extrêmement urgente. Si tout fonctionne comme prévu, au moment où un humain intervient pour préparer la mise à jour, une demande d'extraction et une version de test pourraient déjà être prêtes pour les tests. Dès que les responsables des paquets Fedora sont informés d'une faille de sécurité dans un paquet que nous distribuons, nous évaluons la meilleure façon de mettre le correctif à la disposition des utilisateurs des versions Fedora prises en charge. Souvent, cela consiste simplement à publier la dernière version du paquet, mais ce n'est pas toujours possible. Si le correctif n'a pas encore été intégré au projet amont (comme ce fut le cas pour les récentes vulnérabilités du noyau) ou si la dernière version est trop éloignée de la version actuelle du paquet dans cette version Fedora (plus d'informations), le correctif peut être appliqué séparément. Il peut alors arriver qu'une version corrigée du paquet soit disponible, mais que le numéro de version affiche toujours la version vulnérable. Vous pouvez donc utiliser la commande `dnf changelog` pour consulter l'historique des mises à jour du paquet et vérifier si un correctif a été appliqué.

Sécuriser votre système

Cela peut paraître banal, mais pour la plupart des utilisateurs, la meilleure façon de sécuriser son système est de le mettre à jour régulièrement. Les mises à jour de sécurité sous Fedora sont étiquetées avec leur niveau de gravité et leur numéro CVE, ce qui vous permet de suivre leur publication dans Bodhi (par exemple). Vous pouvez également appliquer toutes les mises à jour de sécurité en attente sur votre système à l'aide de la commande suivante :

dnf update --security

Certains environnements de bureau informent proactivement les utilisateurs des mises à jour de sécurité disponibles. Par exemple, GNOME Software vérifie périodiquement les mises à jour en attente et affiche une notification (comme celle ci-dessous) invitant l'utilisateur à les installer. Si vous souhaitez automatiser l'application des correctifs aux paquets vulnérables, dnf-automatic peut être configuré pour télécharger et appliquer automatiquement les mises à jour de sécurité selon une planification. Cependant, l'application des mises à jour du noyau nécessitera un redémarrage du système.

S'impliquer

Si la sécurité open source vous intéresse, pourquoi ne pas devenir contributeur Fedora ? Nous recherchons constamment de nouveaux participants pour des projets comme le groupe d'intérêt spécialisé en sécurité et la maintenance du noyau !