CVE-2016-4484 (faille LUKS - CryptSetup)

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

CVE-2016-4484 (faille LUKS - CryptSetup)

Aerya

CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4484
Exploit, PoC & workaround : http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html
Une faille permet de passer outre la demande de pwd lors d'un accès à une partition chiffrée.

Pas encore de patch mais un workaround à mettre en place soi-même.

Malakai

Ca c'est chiant, parce que j'ai des serveurs dont l'installation est faite avec CryptSetup.
Par contre ce que je n'ai pas bien compris c'est ou se trouve la faille ; c'est au niveau du script qui permet de rentrer le mot de passe pour decrypter le systeme?
Parce que moi j'ai suivi ce tuto pour decrypter le systeme par ssh et il utilise un autre script.
Donc question au pro du cryptage : est-ce que je suis quand meme affecte?

Aerya

Je ne sais pas ce que ta machine utilise comme système de chiffrement. CryptSetup a été patché mais n'est pas encore poussé en stable, ce sera la 1.7.3-2
Par exemple elle est déjà dans les repos Debian mais par exemple pas encore sur Ubuntu ni Archlinux.

Malakai

J'utilise CryptSetup avec LUKS.
L'article dont tu as donne le lien dit que la vulnerabilite se trouve au niveau de /scripts/local-top/cryptroot.
Mais du coup moi ayant suivi le tuto de ce lien, je ne me rend pas bien compte si je suis egalement affecte, vu que je ne pense pas utiliser le script /scripts/local-top/cryptroot (ou peut etre que si...)

Aerya

C'est CryptSetup. Le mec décompile le bousin, c'est un chercheur en sécurité 😉

coom

Ça reste une faille exploitable uniquement en local. Mais effectivement chiffrer ses datas n'etant utile que pour protéger les données hors ligne c'est un peu dommage.

Aerya

coom Certes, je pensais surtout aux PC personnels, dans la maison tous nos PC (sauf le Windows pour jouer) sont chiffrés. Le risque est plus faible en effet pour les serveurs, quoique...

Malakai

Bon, juste pour revenir sur le script que j'utilise pour pouvoir entrer la passphrase par ssh, pas de faille a ce niveau la. J'ai rentre la mauvaise passphrase plusieurs fois, j'ai attendu pour voir et rien, le script demande toujours la passphrase sans basculer sur un shell de secours.
Donc comme le dit coom ca ne reste exploitable qu'en local (mais local, quand on parle de serveur dedie, ca veut le plus souvent dire pas chez moi dans un placard ferme a clef).

hydrog3n

Petit lien d'info en plus 🙂 http://korben.info/faille-cryptsetup-permet-dobtenir-acces-root-certaines-machines-linux.html

hydrog3n

J'ai testé au boulot c'est marrant comme faille 😃

Bon après faut un peu de connaissance pour sortir des infos.