Vulnérabilité du noyau Linux

Gestion du document

Référence	CERTA-2006-AVI-298-001
Titre	Vulnérabilité du noyau Linux
Date de la première version	18 juillet 2006
Date de la dernière version	19 juillet 2006
Source(s)	Liste des changements apportés à la version 2.6.17.5 du noyau Linux
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Élévation de privilèges ;

Systèmes affectés

Les noyaux Linux versions 2.6.17.4 et antérieures.

Résumé

Une vulnérabilité dans le noyau Linux permet à un utilisateur local au système d'élever ses privilèges.

Description

Une erreur dans la mise en œuvre du système de fichier virtuel /proc permet à un utilisateur local au système d'élever ses privilèges. Ceci lui est possible en modifiant les attributs d'un processus qu'il contrôle via le système de fichier /proc puis en mettant ce même processus dans un état particulier.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Liste des changements apportés à la version 2.6.17.5 du noyau Linux :
```
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.17.5
```
Bulletin de sécurité Debian DSA 1111 du 18 juillet 2006 :
```
http://www.debian.org/security/2006/dsa-1111
```
Bulletin de sécurité Ubuntu USN-319-2 du 18 juillet 2006 :
```
http://www.ubuntu.com/usn/usn-319-2
```

Référence CVE CVE-2006-3626 :

https://www.cve.org/CVERecord?id=CVE-2006-3626

Gestion détaillée du document

le 18 juillet 2006: version initiale ;

le 19 juillet 2006: ajout de la référence au bulletin de sécurité Ubuntu.

Avis du CERT-FR

Objet: Vulnérabilité du noyau Linux