Au fond d’une obscure librairie, une fonction d’échange de données est vulnérable à un dépassement d’entier, une erreur arithmétique qui, correctement exploitée, peut mener à un dépassement de mémoire tampon. Si ces « buffer overflows » sont connus depuis longtemps, celui-ci inquiète particulièrement les spécialistes du CERT , à cause de son universalité. La librairie concernée est XDR, un composant utilisé par toute l’industrie afin de faire se parler des programmes très différents, fonctionnant sur des systèmes eux aussi très variés. Elle est utilisée tant au sein de Windows que de MacOS X et de nombreux Unix commerciaux ou libres, tels Linux et FreeBSD. Sur tous ces systèmes, l’exploitation de la faille peut mener, au mieux, à un déni de service et au pire à la prise de contrôle totale du serveur.Mais il y a pire : le système d’authentification Kerberos, développé par le Massachusetts Insitute Of Technologie, est également vulnérable. Très répandu et généralement chargé de contrôler l’accès à des systèmes vraiment critiques, Kerberos pourrait, grâce à la faille de cette librairie, offrir au pirate l’accès au saint des saints : le centre de distribution des clés (KDC, Key Distribution Center). Une telle éventualité est une catastrophe majeure pour qui a déployé Kerberos.La faille ne semble toutefois pas avoir été exploitée malicieusement à l’heure actuelle. Mais cela n’empêche pas le CERT d’en appeler à tous les administrateurs de systèmes potentiellement à risque, afin d’installer un correctif si nécessaire, ou de fermer le service réseau concerné. La liste des logiciels et des systèmes d’exploitation à risque est longue : même la libraire GNU libc, pierre angulaire de tous les systèmes libres, est touchée. A l’heure de la rédaction de cette brève, Apple, Sun et la majorité des Unix libres (Linux Debian et Red Hat, FreeBSD, OpenBSD) ont publié un correctif.Chez Microsoft, HP, IBM et SGI, on « étudie » toujours la question, comme ils disent pudiquement.Plus d’informations, dont la liste des systèmes vulnérables :Voir l’alerte du Computer Emergency Response Team (CERT).