Les vulnérabilités du noyau Linux ne font pas l’objet d’une notification préalable aux distributions

 (openwall.com)
1 points par GN⁺ 2 시간 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • CopyFail, une vulnérabilité d’élévation locale de privilèges du noyau Linux, fait partie des cas les plus graves parmi les récentes failles du noyau de type « make-me-root »
  • Le problème a été introduit par le commit 72548b093ee38a6d4f2a19e6ef1948ae05c181f7 dans la 4.14, et corrigé dans 6.18.22, 6.19.12 et 7.0
  • Les versions 6.19.12 et 6.18.22 incluaient un backport du correctif le 11 avril, mais ce correctif n’avait alors pas été intégré aux versions Longterm 6.12, 6.6, 6.1, 5.15 et 5.10
  • Le correctif ne s’appliquait pas proprement aux anciens noyaux et, lorsqu’un déploiement immédiat est nécessaire, un patch de désactivation du module authencesn d’IPSec peut servir de mesure temporaire
  • Les vulnérabilités du noyau Linux ne font pas l’objet d’une notification préalable aux distributions à moins que le rapporteur ne les transmette à la linux-distros ML ; dans ce cas aussi, il n’y a pas eu de heads-up

Portée de l’impact et état des correctifs pour CVE-2026-31431

  • CopyFail est une vulnérabilité d’élévation locale de privilèges du noyau Linux et fait partie des cas les plus graves parmi les récentes failles du noyau de type « make-me-root »
  • Le problème a été introduit par le commit 72548b093ee38a6d4f2a19e6ef1948ae05c181f7 dans 4.14, puis corrigé respectivement dans 6.18.22, 6.19.12 et 7.0
  • Commit de correction pour 6.18.22
  • Commit de correction pour 6.19.12
  • Commit de correction pour 7.0
  • Les versions 6.19.12 et 6.18.22 ont été publiées le 11 avril avec un backport du correctif inclus
  • Les versions Longterm 6.12, 6.6, 6.1, 5.15 et 5.10 n’avaient alors pas reçu le correctif, et celui-ci n’apparaissait pas non plus dans l’upstream stable queue
  • Si le problème a bien été introduit en 2017, il faut aussi vérifier si les anciens noyaux sont affectés

Notification préalable aux distributions et réponse temporaire

  • Ce correctif ne s’applique pas proprement aux anciens noyaux
  • Un backport a été tenté pour les cas où un déploiement immédiat est nécessaire, mais il était difficile d’avancer avec certitude en raison de plusieurs changements d’API
  • Comme réponse temporaire, il est possible d’utiliser un patch désactivant le module authencesn d’IPSec, ce qui reste un « choix moins mauvais » même sans être spécialiste d’IPSec
  • 0001-crypto-disable-authencesn-module-for-CVE-2026-31431.patch : patch de désactivation du module authencesn pour répondre à CVE-2026-31431
  • Les vulnérabilités du noyau Linux ne font pas l’objet d’une notification préalable aux distributions à moins que le rapporteur ne les transmette à la linux-distros ML
  • Dans ce cas, il n’y a pas eu de heads-up via la linux-distros ML

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.