K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.

1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].

2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.

Aucun correctif officiel pour l'instant, donc patience.

La version 2.4.23 du noyau Linux est sortie aujourd'hui même, je viens juste de le voir sur LKML. Je m'abstiens de faire un résumé des nouveautés.

Cependant j'ai vu pas mal de lignes relatives à l'ACPI. Ça peut intéresser ceux qui ont des soucis de ce côté et attendent du nouveau.

NdM : merci à Julien Jeany d'avoir aussi proposé cette dépêche. « C'est donc la 2.4.23-rc5 qui s'est fait passer en 2.4.23. Ceci devrait être la dernière évolution du noyau 2.4 avant la sortie du très attendu 2.6 (qui devrait faire son apparition en décembre). »