RedHat : Présence d’une vulnérabilité dans le noyau Linux

Une vulnérabilité a été identifiée au niveau du noyau Linux, cette vulnérabilité porte sur l'allocation de la mémoire et se produit entre inotify-handle-event et vfs_rename si un fichier donné est renommé par les deux fonctions en même temps.

En exploitant cette vulnérabilité, une personne malveillante disposant d’un accès local sur un poste utilisateur peut de manière non authentifiée et sans aucune interaction avec l'utilisateur, porter atteinte à la confidentialité, l'intégrité et la disponibilité du système cible.

Il est également possible pour l'attaquant de procéder à une élévation de privilèges via cette vulnérabilité.

Informations
+

Impact

  • Élévation de privilèges
  • Déni de service
  • Divulgation d'information
  • Suppression de données

Criticité

  • CVSS v3 : 7.0
  • CVSS v2 : 6.9

Existence d’un code d’exploitation de la vulnérabilité

Un exploit pour les kernels 32 bits est disponible publiquement sur Internet et permet l'élévation de privilèges. Aucun exploit public pour les kernels 64 bits n'est connu pour le moment.

Par ailleurs, un script fournissant une preuve de concept a été publié sur http://seclists.org/fulldisclosure/2017/Aug/6.

Composants & versions vulnérables

  • Red Hat Enterprise Linux Server - Extended Update Support 7.2 x86_64
  • Red Hat Enterprise Linux Server - AUS 7.2 x86_64
  • Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 7.2 s390x
  • Red Hat Enterprise Linux for Power, big endian - Extended Update Support 7.2 ppc64
  • Red Hat Enterprise Linux EUS Compute Node 7.2 x86_64
  • Red Hat Enterprise Linux for Power, little endian - Extended Update Support 7.2 ppc64le
  • Red Hat Enterprise Linux Server - TUS 7.2 x86_64
  • Red Hat Enterprise Linux Server - 4 Year Extended Update Support 7.2 x86_64

CVE

  • CVE-2017-7533

Recommandations
+

Correctifs

Un patch de sécurité a été publié par RedHat corrigeant la vulnérabilité.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.