Sign in Subscribe
By Jean-Marc BIAUDIS in sécurité

Failles Protocol Buffers corrigées sur Ubuntu 16.04/18.04/20.04

Nouvel avertissement de sécurité pour les administrateurs Ubuntu : la notice USN-7629-2 vient de paraître avec des correctifs critiques pour le célèbre outil de sérialisation Protocol Buffers (aussi appelé Protobuf). Si vos serveurs tournent sous Ubuntu 16.04 LTS, 18.04 LTS ou 20.04 LTS, il est grand temps de lancer apt update avant qu’un paquet malveillant ne plombe vos services.

Qu’y a-t-il dans le viseur ?

Les failles corrigeées concernent deux modules bien précis : les liaisons Python et Java de Protobuf. Un attaquant capable d’envoyer un message spécialement forgé peut provoquer une manipulation incorrecte de la mémoire, entraînant une consommation excessive des ressources ou un plantage brutal du processus. En clair : déni de service (DoS) garanti et disponibilité compromise.

Pourquoi Protocol Buffers est-il si sensible ?

Initialement développé par Google, Protobuf est partout : micro-services, bases de données distribuées, bases de machine learning, outils de monitoring… Il échange des millions de messages chaque seconde. Une vulnérabilité dans sa couche d’allocation signifie potentiellement :

  • Pannes en cascade entre services internes
  • Exploitations combinées avec des failles applicatives
  • Gain de temps pour les ransomwares déjà à l’intérieur du réseau

Comment réagir immédiatement ?

Aucun contournement officiel n’est proposé ; la seule parade reste l’application des correctifs. Sur les trois versions LTS concernées :

  1. Mettez à jour vos dépôts : sudo apt update
  2. Installez les derniers paquets protocole-buffers, python3-protobuf ou libprotobuf-java : sudo apt upgrade
  3. Redémarrez les services qui utilisent ces bibliothèques (Logstash, gRPC, TensorFlow Serving, etc.)
  4. Survolez les journaux pour détecter tout plantage inattendu depuis la dernière semaine

Scénario d’impact

Imaginez une API d’authentification écrite en Spring Boot et un client mobile en Python. Si l’un ou l’autre reçoit un blob Protobuf trafiqué, il peut entrer dans une boucle de parsing infinie, saturer la JVM ou le GIL, et rendre indisponible l’ensemble du cluster. Pas de fuite de données à proprement parler, mais un système qui ne répond plus… et des clients furieux.

Conclusion & appel à l’action

Ce patch est l’un de ces correctifs « silencieux » qu’on a tendance à oublier. Verrouillez vos machines, planifiez une maintenance si nécessaire, et réduisez la fenêtre d’exposition au maximum. Avez-vous déjà croisé un DoS provoqué par Protobuf dans votre infra ? Partagez votre retour d’expérience en commentaire et aidez la communauté à mieux sécuriser ses pipelines de données.

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe