Mise à jour de sécurité à l’installation de RaspBMC

avril 30th, 2014 | Posted by Cervoise in Français

Récemment en bricolant RaspBMC, je me suis rendu compte que celui-ci n’avait pas été mis à jour depuis un bout de temps. J’ai donc décidé de m’intéresser de plus près à la gestion des mises à jour sur ce système. S’agissant d’un Debian, il est assez simple de le mettre à jour via apt. Cependant, cet outil étant destiné au grand public, on pourrait espérer un système de mise à jour automatique. Voici ce que j’ai trouvé sur le site officiel :

Nous n’avons que peu de détail sur ce qui est maintenu à jour, la fréquence, etc. J’ai donc décidé de réinstaller un RaspBMC et de voir comment était gérée la mise à jour du système au cours de l’installation. Pour rappel voici les différentes étapes de l’installation :

  • Connection to Raspbmc update server
  • Format partitions
  • Download root filesystem
  • Install root filesystem
  • Download kernel modules
  • Install kernel modules
  • Download kernel and bootloader
  • Install kernel and bootloader
  • Reboot
  • Set up for first run
  • Patch Hearbleed vulnerability
  • Update service management
  • Download new XBMC build
  • Extract XBMC
  • Restart XBMC

Suite à cela, j’ai réalisé une mise à jour de la liste des paquets (apt-get update), puis j’ai récupéré le résultat des commandes apt-get –simulate upgrade et dpkg -l. J’ai passé les résultats dans un petit script maison. Script que je présenterai plus tard, mais qui a déjà une petite place sur git-hub ici. Voici donc les résultats que j’ai obtenus :

Source packet Packets Actual version Up to date version CVE
jbigkit libjbig0 2.0-2 2.0-2+deb7u1 CVE-2013-6369
pyopenssl python-openssl 0.13-2+rpi1 0.13-2+deb7u1 CVE-2013-4314
openssh openssh-client 1:6.0p1-4 1:6.0p1-4+deb7u1 CVE-2014-2532, CVE-2014-2653
python2.7 python2.7-minimal python2.7 libpython2.7 2.7.3-6 2.7.3-6+deb7u2 CVE-2013-4238, CVE-2014-1912
openssl libssl1.0.0 1.0.1e-2+rpi1 1.0.1e-2+rvt+deb7u6 CVE-2013-6450, CVE-2014-0160, CVE-2014-0076, CVE-2013-6449, CVE-2013-4353
eglibc libc-bin libc6 multiarch-support libc-dev-bin libc6-dev locales 2.13-38+rpi2 2.13-38+deb7u1 CVE-2013-4237, CVE-2013-4458, CVE-2013-1914, CVE-2012-4424, CVE-2013-4788, CVE-2012-4412, CVE-2013-4332, CVE-2013-0242
gnutls26 libgnutls26 2.12.20-7 2.12.20-8+deb7u1 CVE-2014-1959, CVE-2014-0092
file libmagic1 file 5.11-2 5.11-2+deb7u3 CVE-2014-1943, CVE-2014-2270
curl libcurl3-gnutls 7.26.0-1+wheezy7 7.26.0-1+wheezy8 CVE-2014-0138, CVE-2014-0139, CVE-2014-0015
libssh libssh-4 0.5.4-1 0.5.4-1+deb7u1 CVE-2014-0017
libmicrohttpd libmicrohttpd10 0.9.20-1 0.9.20-1+deb7u1 CVE-2013-7039, CVE-2013-7038
mysql-5.5 mysql-common libmysqlclient18 5.5.33+dfsg-0+wheezy1 5.5.35+dfsg-0+wheezy1 CVE-2014-0412, CVE-2014-0437, CVE-2013-5908, CVE-2014-0420, CVE-2014-0393, CVE-2013-5891, CVE-2014-0386, CVE-2014-0401, CVE-2014-0402
udisks udisks 1.0.4-7 1.0.4-7wheezy1 CVE-2014-0004

Même s’il faudrait étudier chaque vulnérabilité pour déterminer son exploitabilité et l’impact de celle-ci sur le système, la conclusion est assez claire, le système n’est pas automatiquement mis à jour lors de l’installation. La prochaine étape consistera à analyser le fonctionnement des mises à jour au sein du système via l’analyse des différents scripts de mise à jour présentés ici et la réalisation d’une analyse quotidienne du niveau de mise à jour du RaspBMC.

Pour terminer, je tiens à faire remarquer que le CVE-2014-0160 apparait plusieurs fois, or, au cours de l’installation j’ai eu le message suivant :

patching_hb

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.