Depuis sa version 223 de juin 2015, et jusqu’à la version 233 de mars, Systemd, le gestionnaire monolithique d’initialisations de nombreuses distributions Linux, comporte une faille de sécurité qui peut mener au blocage d’un système ou à l’exécution à distance de code.
Quand un serveur, un ordinateur ou un autre appareil recherche un nom d’hôte en appelant un serveur DNS, il peut être trompé sur la taille de la chaîne de caractères à réserver pour la réponse. Si la taille est inférieure à la réponse, le processus écrira au-delà de la mémoire qui lui est réservée.
Tous les systèmes linux utilisant Systemd sont affectés. Il suffit à un serveur de DNS malicieux d’envoyer une charge TCP spécialement conçue en réponse à une requête.
La vulnérabilité, qui a reçu l’identifiant CVE-2017-9445, a été découverte il y a peu. Sa priorité est estimée haute.
Des correctifs sont disponibles. Il faut installer les mises à jour au plus vite pour Ubuntu, 16.10 et 17.04.
Deux versions de Debian sont affectées, 232-25 et 233-9, il vaut mieux installer la mise à jour, même si par défaut, Systemd n’est pas activé.
De très nombreuses autres distributions Linux utilisent également Systemd depuis 2015; il faudra vérifier l’existence d’une mise à jour et l’installer le cas échéant.
Cet incident va peut-être relancer l’intérêt pour Devuan, une variante de Debian où toutes les dépendances à Systemd ont été supprimées, et qui sert elle-même de base à de nombreuses distributions (EterTICs, Exd GNU/Linux, Gnuinos, MIYO, etc).
Systemd est en totale contradiction avec la philosphie de Unix, qui est qu’un exécutable doit faire une chose bien et une seule. Pour beaucoup, Systemd est une abomination.