Vulnérabilité dans le noyau Linux
Date de publication :
Le sous-système garbage collection (gc)est un collecteur de mémoire qui permet de réallouer celle-ci lorsqu’elle n’est plus utilisée. Cette vulnérabilité détourne des fonctions d’appels en mémoire pour compromettre le système.
CVE-2021-4083[Score CVSS v3.1: 7.0]
Une gestion incorrecte de la mémoire dans le sous-système garbage collection du noyau de Linux peut permettre à un attaquant d’utiliser simultanément les fonctions close() et fget() pour générer un déni de service ou élever ses privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Déni de service
Criticité
- Score CVSS v3.1: 7.0
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
Détails sur l’exploitation
- Vecteur d’attaque : Local
- Complexité de l’attaque : Haute
- Privilèges nécessaires pour réaliser l’attaque : Faible
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui
Composants vulnérables.
- Les versions du noyau de Linux qui sont antérieures à la version 5.16-rc4.
Solutions ou recommandations
- Appliquer la dernière mise à jour du noyau de Linux vers la version 5.16.10, ou toutes autres versions ultérieures. La dernière version du noyau de Linux peut être téléchargée ici.
- Pour les utilisateurs Ubuntu : Mettre à jour le système Ubuntu vers la version 20.04, ou toutes autres versions ultérieures. Des informations supplémentaires ainsi que les dernières versions du produit et de ses composants sont disponibles ici.