Découverte d'un trio de bugs dans le 'kernel' de Linux

Des chercheurs en sécurité viennent de mettre à jour trois vulnérabilités jugées « critiques » dans une version du noyau (‘kernel’) de Linux utilisée dans de nombreuses distributions… Mais la dernière version corrige le problème

Trois bugs permettraient à des utilisateurs distants de lire et d’écrire des données et d’accéder à certaines ressources d’un poste, indique sur sa page Web SecurityFocus.

Ces vulnérabilités peuvent être exploitées par des codes malveillants afin de provoquer des attaques par deni de service, récupérer des informations sensibles et confidentielles ou obtenir les droits administrateurs ou « root » sous Linux, expliquent les chercheurs.

Ce bug concerne toutes les versions de Kernel Linux, jusqu’à la version 2.6.24.1 qui dispose d’un correctif. Les grandes distributions concernées sont Ubuntu, Turbolinux, SuSE, Red Hat, Mandriva, Debian…

De son côté, l’éditeur de sécurité Secunia préfère qualifier le risque d’important et non critique. Le groupe estime que le risque est surévalué par SecurityFocus.

Une POC (proof of concept) pour les trois vulnérabilités a été publiée sur le site dédié au Hacking, milw0rm.com. Core Security Technologies a développé un exploité qu’il propose à la revente sur sa page.

Le mois dernier, le département de la sécurité intérieure américaine (DHS) a indiqué qu’en moyenne, sur les 180 logiciels open source les plus utilisés, pour 1.000 lignes de code il existait une faille potentielle.