Vu sur minimachines.net : backdoor dans le noyau Linux AllWinner (Message d'origine sur armbian.
De nombreux possesseurs de cartes de dev (orange pi banana pi), ainsi que les tablettes, smartphones et smart TV sont concernés par cette faille permettant semble-t-il à une application d'obtenir facilement les droits root. Plus de détails vous seront fournis en allant voir les liens indiqués ci-dessus.
Pour les possesseurs de cartes de dev, la correction pourra être appliquée dès qu'elle sera disponible. Par contre, en ce qui concerne les autres équipements, la mise à disposition du correctif dépendra du bon vouloir du fabricant.
Ce problème illustre bien le risque 'utiliser des produits "fermés", bien que basés sur des briques ou couches libres. Sans parler de la possibilité d'auditer le code source (qui n'est pas systématiquement fait), on touche ici à la problématique des mises à jour de sécurité qui se trouvent plus difficile à faire sur des systèmes non libres ou verrouillés par les constructeurs (soit le fabricant de l'équipement, soit le concepteur de la puce).
En outre se pose la question de savoir si cette faille a été laissée intentionnellement ou s'il s'agit d'une erreur involontaire : mais le comportement d'AllWinner sème le doute : plutôt que d'assumer et de jouer la transparence, ils ont supprimé semble-t-il les messages faisant référence à cette faille de leur github (références dans les articles liés).
# catastrophique
Posté par cortex62 . Évalué à 3.
J'ai lu ça cette semaine sur https://olimex.wordpress.com/2016/05/10/how-to-root-any-allwinner-device-running-android-and-most-of-the-chinese-pi-clones-which-bet-on-allwinner-android-linux-kernel/
Vu les parts de marché de allwinners c'est catastrophique. Le nombre de tablette bas de gamme ou cette failles existe doit être tout simplement hallucinant.
Donc au passage TOUTES les cartes:
-banana pi
-orange pi
-quid du pine64 ?
À priori les cartes Olimex ne sont pas concernées, mais il est préférable de vérifier.
[^] # Re: catastrophique
Posté par cortex62 . Évalué à 1.
Autres informations: http://forum.armbian.com/index.php/topic/1108-security-alert-for-allwinner-sun8i-h3a83th8/
[^] # Re: catastrophique
Posté par vlad59 (site web personnel) . Évalué à 1.
Les processeur A20 ne sont pas concernés, donc pas les bananpi de première génération et les cubieXXXX
[^] # Re: catastrophique
Posté par cortex62 . Évalué à 1.
Ça limite la casse, mais le pine64 commence mal a priori …..
# Produit fermé?
Posté par Ph Husson (site web personnel) . Évalué à 6. Dernière modification le 12 mai 2016 à 13:34.
Pardon?
Ce code est publique depuis plusieurs années.
Le problème de mise à jours est certes de la faute du constructeur, mais pas pour des raisons que c'est du code fermé (ce qu'il n'est pas.). Le problème c'est que si le constructeur ne fait pas de mise à jours, Mme Michu ne pensera jamais à en faire.
La très grande majorité des Allwinner ont un bootloader ouvert. Et grâce à cette faille, y en a même pas besoin.
[^] # Re: Produit fermé?
Posté par totof2000 . Évalué à 3. Dernière modification le 12 mai 2016 à 14:59.
C'est bien pour ça que je parle de "produit fermé" et pas de code fermé : j'oppose ici un produit (tablette, ou carte de dev) fermé (android spécifique constructeur pour lequel on ne peut pas récupérer les sources ni faire les mises à jour) et ouvert (une version de debian qui serait patchée ou que l'on pourrait patcher plus facilement).
Android est basé sur du libre, mais en pratique, quand on veut le reciompiler pour un matériel spécvifique, c'est quasi impossible, en raison de parties propriétaires intégrées dans le produit.
Si le produit était réellement ouvert, il serait possible à n'importe qui de le faire : Mme Michu ne le ferait peut-être pas elle-même, mais elle pourrait porter son appareil à un réparateur quiu pourrait le faire.
[^] # Re: Produit fermé?
Posté par Ph Husson (site web personnel) . Évalué à 4.
Je crois que t'as mal compris mon message.
Sur les tablettes dont il est question, il est parfaitement possible de mettre à jour le kernel.
Ça ne va pas arriver, parce que Mme Michu ne prend les mises à jours que de son constructeur.
Donc même si quelqu'un fait une mise à jour pour une tablette, moins de 0.1% des possesseurs de cette tablette auront cette mise à jour.
Ce n'est pas un problème d'être fermé ou non. Si du jour au lendemain Debian meurt, les Mme Michu qui sont en Debian n'auront pas d'update jusqu'à ce que leur gentil neveu qui leur a mis Debian les passe à Devuan.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.