Risque

  • Déni de service ;
  • Elévation de privilèges.

Systèmes affectés

Les systèmes Linux utilisant les versions de noyau suivantes:

  • pour la série 2.2.x, les versions 2.2.19 et antérieures sont vulnérables ;
  • pour la série 2.4.x, les versions 2.4.11 et antérieures sont vulnérables ;

Résumé

Deux vulnérabilités concernant les noyaux linux de la série 2.2.x et 2.4.x ont été publiées sur l'Internet.

Ces vulnérabilités ne sont exploitables qu'en local.

Description

En créant des liens symboliques soigneusement choisis, un utilisateur mal intentionné peut réaliser un déni de service sur le système local. Ce déni de service est dû à la consommation excessive de la ressource CPU.

La deuxième vulnérabilité concerne une faille dans le code de l'appel système ptrace. En exploitant cette vulnérabilité, un utilisateur mal intentionné peut obtenir les privilèges de l'administrateur root sur le système vulnérable.

Solution

Mettre à jour le noyau linux à partir des sources:

Certains éditeurs de distribution Linux diffusent également des paquetages réalisant une mise-à-jour du noyau (cf section Documentation). Pour plus de renseignements concernant les correctifs, contactez votre éditeur.

Documentation

  • Avis de sécurité RedHat RHSA-2001:129-10;
  • Avis de sécurité RedHat RHSA-2001:130-04;
  • Avis de sécurité SuSE SuSE-SA:2001:036;
  • Avis de sécurité Mandrake MDKSA-2001:082-1.
  • Avis de sécurité Mandrake MDKSA-2001:079-1.