Journal Faille de sécurité dans les noyaux Linux AllWinner

Posté par totof2000 le 11 mai 2016 à 21:26. Licence CC By‑SA.

Étiquettes : aucune

mai

2016

Vu sur minimachines.net : backdoor dans le noyau Linux AllWinner (Message d'origine sur armbian.

De nombreux possesseurs de cartes de dev (orange pi banana pi), ainsi que les tablettes, smartphones et smart TV sont concernés par cette faille permettant semble-t-il à une application d'obtenir facilement les droits root. Plus de détails vous seront fournis en allant voir les liens indiqués ci-dessus.

Pour les possesseurs de cartes de dev, la correction pourra être appliquée dès qu'elle sera disponible. Par contre, en ce qui concerne les autres équipements, la mise à disposition du correctif dépendra du bon vouloir du fabricant.

Ce problème illustre bien le risque 'utiliser des produits "fermés", bien que basés sur des briques ou couches libres. Sans parler de la possibilité d'auditer le code source (qui n'est pas systématiquement fait), on touche ici à la problématique des mises à jour de sécurité qui se trouvent plus difficile à faire sur des systèmes non libres ou verrouillés par les constructeurs (soit le fabricant de l'équipement, soit le concepteur de la puce).

En outre se pose la question de savoir si cette faille a été laissée intentionnellement ou s'il s'agit d'une erreur involontaire : mais le comportement d'AllWinner sème le doute : plutôt que d'assumer et de jouer la transparence, ils ont supprimé semble-t-il les messages faisant référence à cette faille de leur github (références dans les articles liés).

# catastrophique

Posté par cortex62 le 12 mai 2016 à 12:43. Évalué à 3.

J'ai lu ça cette semaine sur https://olimex.wordpress.com/2016/05/10/how-to-root-any-allwinner-device-running-android-and-most-of-the-chinese-pi-clones-which-bet-on-allwinner-android-linux-kernel/
Vu les parts de marché de allwinners c'est catastrophique. Le nombre de tablette bas de gamme ou cette failles existe doit être tout simplement hallucinant.
Donc au passage TOUTES les cartes:
-banana pi
-orange pi
-quid du pine64 ?
À priori les cartes Olimex ne sont pas concernées, mais il est préférable de vérifier.
- [^] # Re: catastrophique
  
  Posté par cortex62 le 12 mai 2016 à 12:49. Évalué à 1.
  
  Autres informations: http://forum.armbian.com/index.php/topic/1108-security-alert-for-allwinner-sun8i-h3a83th8/
- [^] # Re: catastrophique
  
  Posté par vlad59 (site web personnel) le 12 mai 2016 à 14:41. Évalué à 1.
  
  Les processeur A20 ne sont pas concernés, donc pas les bananpi de première génération et les cubieXXXX
  - [^] # Re: catastrophique
    
    Posté par cortex62 le 12 mai 2016 à 21:35. Évalué à 1.
    
    Ça limite la casse, mais le pine64 commence mal a priori …..
# Produit fermé?

Posté par Ph Husson (site web personnel) le 12 mai 2016 à 13:33. Évalué à 6. Dernière modification le 12 mai 2016 à 13:34.

Ce problème illustre bien le risque 'utiliser des produits "fermés", bien que basés sur des briques ou couches libres. Sans parler de la possibilité d'auditer le code source (qui n'est pas systématiquement fait), on touche ici à la problématique des mises à jour de sécurité qui se trouvent plus difficile à faire sur des systèmes non libres ou verrouillés par les constructeurs (soit le fabricant de l'équipement, soit le concepteur de la puce).

Pardon?
Ce code est publique depuis plusieurs années.
Le problème de mise à jours est certes de la faute du constructeur, mais pas pour des raisons que c'est du code fermé (ce qu'il n'est pas.). Le problème c'est que si le constructeur ne fait pas de mise à jours, Mme Michu ne pensera jamais à en faire.
La très grande majorité des Allwinner ont un bootloader ouvert. Et grâce à cette faille, y en a même pas besoin.
- [^] # Re: Produit fermé?
  
  Posté par totof2000 le 12 mai 2016 à 14:59. Évalué à 3. Dernière modification le 12 mai 2016 à 14:59.
  
  Le problème de mise à jours est certes de la faute du constructeur, mais pas pour des raisons que c'est du code fermé (ce qu'il n'est pas.).
  
  C'est bien pour ça que je parle de "produit fermé" et pas de code fermé : j'oppose ici un produit (tablette, ou carte de dev) fermé (android spécifique constructeur pour lequel on ne peut pas récupérer les sources ni faire les mises à jour) et ouvert (une version de debian qui serait patchée ou que l'on pourrait patcher plus facilement).
  
  Android est basé sur du libre, mais en pratique, quand on veut le reciompiler pour un matériel spécvifique, c'est quasi impossible, en raison de parties propriétaires intégrées dans le produit.
  
  Le problème c'est que si le constructeur ne fait pas de mise à jours
  
  Si le produit était réellement ouvert, il serait possible à n'importe qui de le faire : Mme Michu ne le ferait peut-être pas elle-même, mais elle pourrait porter son appareil à un réparateur quiu pourrait le faire.
  - [^] # Re: Produit fermé?
    
    Posté par Ph Husson (site web personnel) le 12 mai 2016 à 15:15. Évalué à 4.
    
    Je crois que t'as mal compris mon message.
    
    Sur les tablettes dont il est question, il est parfaitement possible de mettre à jour le kernel.
    Ça ne va pas arriver, parce que Mme Michu ne prend les mises à jours que de son constructeur.
    Donc même si quelqu'un fait une mise à jour pour une tablette, moins de 0.1% des possesseurs de cette tablette auront cette mise à jour.
    
    Ce n'est pas un problème d'être fermé ou non. Si du jour au lendemain Debian meurt, les Mme Michu qui sont en Debian n'auront pas d'update jusqu'à ce que leur gentil neveu qui leur a mis Debian les passe à Devuan.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.