« Cette vulnérabilité est le rêve devenu réalité d’un attaquant », ont déclaré mercredi les chercheurs de Qualys, bien que le terme « cauchemar » soit plus approprié lorsque l’on se trouve du côté de la sécurité.
Ces vulnérabilités continuent de souligner l’importance de la sécurisation de Linux et des technologies à code source ouvert.
« Étant donné l’ampleur du champ d’attaque de cette vulnérabilité sur les systèmes d’exploitation Linux et non Linux, Qualys recommande aux utilisateurs d’appliquer immédiatement les correctifs pour cette vulnérabilité », ont indiqué les chercheurs.
M. Bar-Dayan, de Vulcan Cyber, a qualifié le modèle de logiciel libre de lame à deux tranchants : « D’un côté, tout le monde peut examiner le code et l’auditer pour identifier et corriger les vulnérabilités. De l’autre côté, les acteurs de la menace peuvent examiner le code et trouver des problèmes subtils que tout le monde a manqué », a-t-il expliqué.
Il n’y a pas de fournisseur à blâmer, ni de fournisseur vers lequel se tourner pour trouver un correctif : « Contrairement aux systèmes entièrement propriétaires où un seul fabricant peut publier un seul correctif pour remédier à une vulnérabilité, une seule vulnérabilité de source ouverte peut être présente dans plusieurs systèmes, ce qui exige alors que plusieurs fabricants développent, testent et distribuent séparément un correctif », a déclaré M. Broomhead.
« Nous continuerons à adopter de nouvelles technologies dans le monde Linux qui introduiront de nouvelles vulnérabilités et de nouveaux problèmes pour les organisations. Nous n’en sommes qu’au début de la gestion des actifs du cloud, et la gestion des actifs est essentiellement la première étape de tout programme de sécurité. »