Vulnérabilité dans le noyau de Linux

Date de publication :

CVE-2022-24122[Score CVSS v3.1: 8.8]
Une vulnérabilité concernant une utilisation incorrecte de la mémoire dynamique (user-after free) a été identifiée dans le fichier ucount.c du noyau de Linux. Lorsque « namespaces » est activé dans la table des utilisateurs non privilégiés, certaines données liées à ces comptes peuvent être réutilisées ultérieurement.  « namespace » est une fonction qui permet de définir les ressources qu’un ensemble de processus peut voir.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilèges

Criticité

  • Score CVSS v3.1: 8.8

La faille est activement exploitée

  • Non

Un correctif existe

  • Oui

Une mesure de contournement existe

  • Non, mais une solution d’atténuation existe.

Les vulnérabilités exploitées sont du type    

Détails sur l’exploitation

Pour la CVE-2022-24122

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

 

Composants vulnérables.

  • Les versions 5.14 à 5.16.4 du noyau de Linux.

Solutions ou recommandations

  • Un correctif est disponible ici.
  • Des informations supplémentaires sont disponibles ici.
  • Il n’existe pas de solution de contournement, mais il est possible d’atténuer le problème :
    Désactiver « namespaces » pour les utilisateurs non privilégiés 

    kernel.unprivileged_userns_clone=0

Liens