Journal une ligne du temps de la dernière faille du noyau Linux (une autre)

Posté par Krunch (courriel, site web personnel) le 15 mai 2026 à 16:19. Licence CC By‑SA.

Étiquettes :

mai

2026

Ces derniers jours LinuxFr.org a décidé de rapporter toutes les failles du noyau Linux qui ont un cool nom avec quelques heures/jours de retard. Celle-ci n'a pas de cool nom, ce qui explique sans doute pourquoi personne n'a encore écrit de journal ou de lien. Ici je vais juste détailler la ligne du temps de la divulgation.

2020-10-16 Jann Horn propose un correctif de sécurité à linux-mm
2020-10-17 Jann Horn fait une deuxième tentative
[le correctif n'est jamais accepté]
2026-05-?? Qualys redécouvre le problème et le rapporte à security@kernel.org
2026-05-13 18:37 UTC Linus Torvalds écrit un correctif qui ne dit pas son nom
2026-05-14 15:32~ UTC Linux Torvalds publie le correctif
2026-05-14 17:16 UTC Brad Spengler fait remarquer qu'il s'agit d'un correctif de sécurité obfusqué
2026-05-14 22:44 UTC _SiCk publie un exploit
2026-05-15 10:23 UTC Qualys publie le problème sur oss-security

Je pense qu'il y a plein d'autres choses potentielles à en dire mais je vais en rester là pour le moment.

# cve ?

Posté par BAud (site web personnel) le 15 mai 2026 à 16:30. Évalué à 2 (+0/-0). Dernière modification le 15 mai 2026 à 16:33.

toi non plus tu ne fournis pas une CVE qui permet de suivre la propagation du correctif :/

LinuxFr.org a décidé de rapporter toutes les failles du noyau Linux qui ont un cool nom avec quelques heures/jours de retard

nope : des personnes contribuant à LinuxFr.org ce qui est un peu différent, LinuxFr.org étant un site web d'information ce n'est pas lui qui est multi-céphale :D

Je pense qu'il y a plein d'autres choses potentielles à en dire mais je vais en rester là pour le moment.

les commentaires permettront de compléter, une dépêche en rédaction permettrait de consolider collaborativement

Répondre
- [^] # Re: cve ?
  
  Posté par Krunch (courriel, site web personnel) le 15 mai 2026 à 16:36. Évalué à 2 (+0/-0).
  
  Je n'avais connaissance du CVE au moment de rédiger ce journal. Je vois maintenant qu'il s'agit de CVE-2026-46333 tel que publié par Greg Kroah-Hartman sur linux-cve-announce à 12:58 UTC.
  
  pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
  
  Répondre
  - [^] # Re: cve ?
    
    Posté par Krunch (courriel, site web personnel) le 15 mai 2026 à 17:13. Évalué à 2 (+0/-0).
    
    Du coup en lisant https://docs.kernel.org/process/cve.html je note qu'en général Linux n'assigne un CVE qu'une fois qu'il y a un fix disponible pour un noyau stable.
    
    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
    
    Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# cve ?

[^] # Re: cve ?

[^] # Re: cve ?