Tout commence avec un message sur la liste des développeurs Exim. L'auteur y explique qu'il vient de se faire compromettre par ce qui ressemble fort à remote root sur Exim. Plus précisément sur la version stable de Debian...
Évidemment, les analyses vont bon train. Il va bientôt apparaître que la faille est en fait double. D'abord une exécution distante avec privilèges restreints puis une escalade locale permettant d'accéder aux droits root. Mais la révélation qui va faire cogiter, c'est que le remote exec avait été corrigé fin 2008 dans la version 4.70, mais que ni Debian ni RedHat n'ont backporté le correctif en question...
On voyait déjà poindre le spectre du bug OpenSSL dans les discussions. Pourquoi diable ce patch pour le remote exec n'avait-il pas été backporté chez Debian qui utilise Exim 4.69 en stable, et RedHat qui propre Exim 4.43 ? La raison en est assez simple : le problème n'avait pas été identifié comme une faille de sécurité. C'est évidemment chose faite à présent chez l'un comme chez l'autre.
En ce qui concerne la deuxième faille, la nouveauté en quelque sorte, à savoir le local root, on semble vouloir prendre son temps chez Debian, pour identifier les implications du correctif proposé nous explique-t-on.
Alors oui, ça fait cogiter. Mais ce n'est pas sans rappeler la polémique autour des correctifs noyau. Certains d'entre elles n'étant pas qualifiées de mises à jour de sécurité bien qu'ayant des impacts de sécurité que d'aucuns jugent évidents. Exploits à l'appui[1]. Or il est clair que dans un mode de maintenance essentiellement axé sur le backport des correctifs de sécurité sur des versions anciennes mais stables, si les développeurs n'indiquent pas qu'une mise à jour corrige une faille de sécurité, elle a de bonnes chances de ne pas être appliquée. Et c'est typiquement ce qui de se passer...
Dans le cas présent, il n'y a pas vraiment de pierre à jeter d'un côté ou de l'autre, mais cela devrait faire réfléchir quelques-uns sur les implications de leurs positions en ce qui concerne les mises à jour de sécurité. Car ici, des gens se sont fait compromettre, via cette une faille passée sous le radar ayant trouvé son complément idéal, sur un logiciel carrément répandu. Vague qui n'a pas manqué de s'accélérer dès la sortie des premiers exploits publics, mais avec moins de succès... Heureusement...
Notes
[1] Mention spéciale pour le CVE combo posté récemment, même s'il n'illustre pas vraiment le propos...