Risque
- Déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
Les noyaux Linux versions 2.6.25.2 et antérieures.
Résumé
Plusieurs vulnérabilités présentes dans le noyau Linux permettent à un utilisateur distant de provoquer un déni de service ou à un utilisateur local de contourner la politique de sécurité du système.
Description
Plusieurs vulnérabilités sont présentes dans le noyau Linux :
- la première est relative à l'appel système sys_utimensat(). Elle permet à un utilisateur local de modifier les dates d'accès ou de modifications d'un fichier arbitraire sans tenir compte des droits d'accès normaux ;
- la deuxième concerne le pilote mettant en œuvre l'encapsulation IPv6 dans IPv4 et permet à un utilisateur distant de provoquer une consommation excessive de la mémoire via un paquet particulier ;
- la dernière concerne la fonction mmap() sur architecture de type SPARC. Cette vulnérabilité permet à un utilisateur local de provoquer un déni de service du système vulnérable.
Solution
La version 2.6.25.3 du noyau Linux corrige le problème :
http://www.kernel.org
Se référer au bulletin de sécurité des éditeurs de distributions pour l'obtention de correctifs (cf. section Documentation).
Documentation
- Liste des changements apportés dans la version 2.6.25.3 du noyau Linux :
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.25.3
- Bulletin de sécurité OpenSUSE SUSE-SA:2008:030 du 20 juin 2008 :
http://lists.opensuse.org/opensuse-security-announce/2008-06/msg00006.html
- Référence CVE CVE-2008-2136 :
https://www.cve.org/CVERecord?id=CVE-2008-2136
- Référence CVE CVE-2008-2137 :
https://www.cve.org/CVERecord?id=CVE-2008-2137
- Référence CVE CVE-2008-2148 :
https://www.cve.org/CVERecord?id=CVE-2008-2148
