Si vous administrez des serveurs Ubuntu, Debian ou SUSE, c’est à lire maintenant. Les chercheurs de Qualys ont divulgué le 12 mars neuf vulnérabilités dans AppArmor, le framework de contrôle d’accès obligatoire intégré au noyau Linux, collectivement baptisées « CrackArmor ». Plus de 12,6 millions d’instances Linux d’entreprise sont exposées. Les correctifs existent – appliquez-les sans attendre.
Canonical détaille la procédure complète sur son blog. SecurityBrief Australie a également couvert l’affaire en détail.
Le problème : un « mandataire confusé » dans le noyau
AppArmor fonctionne en appliquant des profils de sécurité aux processus – il définit ce qu’un programme est autorisé à faire ou non. Le problème identifié par Qualys est ce qu’on appelle un « confused deputy » : le noyau fait confiance à tort à certaines requêtes, permettant à un utilisateur local sans privilèges de manipuler les pseudo-fichiers sous /sys/kernel/security/apparmor/ pour charger, remplacer ou supprimer des profils de sécurité censés protéger des services critiques comme cupsd (impression) ou rsyslogd (journalisation système).
Les conséquences vont de l’affaiblissement des défenses par suppression de profils, à des chaînes d’exploitation impliquant sudo et Postfix qui ouvrent un shell root, jusqu’au plantage complet du système par épuisement de la pile du noyau via des sous-profils profondément imbriqués. Dans les environnements de conteneurs, des scénarios d’évasion sont théoriquement possibles sans application privilégiée coopérante.
Les failles existent depuis le noyau Linux 4.11, publié en 2017. « CrackArmor prouve que même les protections les plus ancrées peuvent être contournées sans identifiants d’administrateur », souligne Dilip Bachwani, directeur de la technologie de Qualys.
Comment corriger : les commandes à exécuter maintenant
Debian a publié les avis DSA-6162-1 et DSA-6163-1 le 12 mars pour ses distributions bookworm et trixie. Canonical a publié des mises à jour pour toutes les versions d’Ubuntu supportées, accompagnées de mesures d’atténuation pour sudo et su.
Pour Ubuntu et Debian, la procédure standard suffit :
sudo apt update && sudo apt upgrade
sudo reboot
Le redémarrage est obligatoire pour que les mises à jour du noyau prennent effet. Si unattended-upgrades est activé (par défaut depuis Ubuntu 16.04), les correctifs seront appliqués automatiquement dans les 24 heures, mais le redémarrage reste nécessaire.
Pour vérifier votre version de noyau avant et après correction :
uname -r
Pour les versions Ubuntu concernées par la vulnérabilité sudo (22.04 Jammy, 24.04 Noble, 25.10 Questing) :
sudo apt update && sudo apt install sudo
Cette mise à jour sudo ne nécessite pas de redémarrage. Qualys indique avoir développé des exploits de démonstration mais ne les publiera pas. L’absence de numéros CVE formels au moment de la divulgation ne doit pas être interprétée comme un signe de risque moindre.
