Logiciel de calcul distribué SETI@Home
Date : 23 Juin 2005
Aujourd'hui, il n'est pas rare de rencontrer, même dans un contexte d'entreprise, des logiciels de calcul distribué. Ils permettent de mettre à disposition d'une communauté (souvent à l'insu des administrateurs) les ressources de chaque PC sur lesquels ils sont installés afin de participer à des calculs très complexes (et très consommateurs de ressource).
L'une des communautés les plus connues utilisant ce mode de calcul est SETI (Search for ExtraTerrestrial Intelligence) de l'université de Berkeley (EU). Son but avoué est de découvrir des traces de vie dans l'univers en étudiant les signaux radio émis dans l'espace. Pour cela, SETI propose un logiciel "SETI@home" qui s'installe sur les PC et qui, une fois lancé, se connecte sur les serveurs de l'université de Berkeley afin de récupérer des données et les traiter ensuite en local (puis retourner finalement le résultat au serveur).
Les communications entre le client SETI@home et les serveurs se font généralement au travers de flux HTTP initié par le client. Ce type de communication permet de s'affranchir des mécanismes de filtrage, mais en empêche aussi un contrôle rigoureux.
De plus, ce mois-ci une vulnérabilité et son programme d'exploitation ont été découverts dans le client SETI@home. En effet, la partie traitant les réponses HTTP des serveurs au niveau du client est vulnérable à un débordement de pile. Cette vulnérabilité peut permettre ainsi l'exécution de code arbitraire sur le système avec les privilèges de la victime connectée.
Bien que le scénario pour exploiter cette vulnérabilité soit assez complexe (il faut que le système attaquant soit capable de "spoofer" les réponses du serveur ou bien d'agir en tant que relais HTTP) il est recommandé de mettre à jour les clients SETI@home avec la dernière version (3.08).
Ce type d'outils n'étant pas "officiellement" utilisé dans la plupart des entreprises, il peut être difficile pour les administrateurs d'identifier les postes sur lesquels ils sont installés.
Les clients SETI@home peuvent être néanmoins détectés lorsqu'ils communiquent avec les serveurs SETI de l'université de Berkeley. Ainsi, les trafics HTTP en direction des machines suivantes :
- hserver2.ssl.berkeley.edu - 66.28.250.122
- setiathome.ssl.berkeley.edu - 128.32.18.151
peuvent indiquer que des clients SETI@home sont présents dans l'entreprise.
Remarque : le produit SETI@home n'étant pas suivi par le Cert-IST, ce problème a fait l'objet d'une description dans la partie du bulletin "Faille n'ayant pas fait l'objet d'avis".
Pour plus d'information
- Avis de Berkeley (SETI) : http://setiathome.berkeley.edu/version308.html
- Avis d'origine : http://spoor12.edup.tudelft.nl/
- Avis de FreeBSD : ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SN-03:02.asc