Ces derniers jours LinuxFr.org a décidé de rapporter toutes les failles du noyau Linux qui ont un cool nom avec quelques heures/jours de retard. Celle-ci n'a pas de cool nom, ce qui explique sans doute pourquoi personne n'a encore écrit de journal ou de lien. Ici je vais juste détailler la ligne du temps de la divulgation.
2020-10-16 Jann Horn propose un correctif de sécurité à linux-mm
2020-10-17 Jann Horn fait une deuxième tentative
[le correctif n'est jamais accepté]
2026-05-?? Qualys redécouvre le problème et le rapporte à security@kernel.org
2026-05-13 18:37 UTC Linus Torvalds écrit un correctif qui ne dit pas son nom
2026-05-14 15:32~ UTC Linux Torvalds publie le correctif
2026-05-14 17:16 UTC Brad Spengler fait remarquer qu'il s'agit d'un correctif de sécurité obfusqué
2026-05-14 22:44 UTC _SiCk publie un exploit
2026-05-15 10:23 UTC Qualys publie le problème sur oss-security
Je pense qu'il y a plein d'autres choses potentielles à en dire mais je vais en rester là pour le moment.
# cve ?
Posté par BAud (site web personnel) . Évalué à 6 (+4/-0). Dernière modification le 15 mai 2026 à 16:33.
toi non plus tu ne fournis pas une CVE qui permet de suivre la propagation du correctif :/
nope : des personnes contribuant à LinuxFr.org ce qui est un peu différent, LinuxFr.org étant un site web d'information ce n'est pas lui qui est multi-céphale :D
les commentaires permettront de compléter, une dépêche en rédaction permettrait de consolider collaborativement
[^] # Re: cve ?
Posté par Krunch (courriel, site web personnel) . Évalué à 4 (+2/-0).
Je n'avais connaissance du CVE au moment de rédiger ce journal. Je vois maintenant qu'il s'agit de CVE-2026-46333 tel que publié par Greg Kroah-Hartman sur linux-cve-announce à 12:58 UTC.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: cve ?
Posté par Krunch (courriel, site web personnel) . Évalué à 4 (+2/-0).
Du coup en lisant https://docs.kernel.org/process/cve.html je note qu'en général Linux n'assigne un CVE qu'une fois qu'il y a un fix disponible pour un noyau stable.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: cve ?
Posté par BAud (site web personnel) . Évalué à 4 (+2/-0).
oui, quand tu lis le traitement des bogues de sécurité par Linux il vaut mieux traduire par « corrigé puis publié » dans la phrase du début : we’d like to know when a security bug is found so that it can be fixed and disclosed as quickly as possible.
De ce que j'en ai compris, c'est ainsi que Linus et GKH (et l'équipe sécurité) appliquent la divulgation responsable vu que certaines personnes se basent sur les CVE pour concevoir un exploit sans se préoccuper s'il y a un correctif :/
[^] # Re: cve ?
Posté par Krunch (courriel, site web personnel) . Évalué à 3 (+1/-0). Dernière modification le 16 mai 2026 à 17:03.
Si on n'a pas de CVE avant la release, ça peut compliquer la communication. Ce journal me semble un bon exemple.
On peut assigner un CVE sans donner aucun détails techniques. Pour un projet de la taille de Linux, savoir qu'il y a un CVE ne donne pas vraiment d'indication sur comment écrire une exploit. Donc je ne vois pas trop le rapport avec la divulgation responsable.
D'ailleurs, si on examine les détails de CVE-2026-46333 on voit que cet identifiant a été réservé à 2026-05-13T15:03:33.113Z. Soit deux jours avant la release.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Distributions
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0). Dernière modification le 16 mai 2026 à 10:24.
Pour Debian https://security-tracker.debian.org/tracker/DSA-6274-1 (qui n'a pas encore la correction nginx mais ça a bougé dans la nuit https://security-tracker.debian.org/tracker/source-package/nginx )
Pour Ubuntu la correction nginx https://ubuntu.com/security/notices/USN-8271-1 (mais pas encore celle du noyau)
Linux CVE-2026-46333 :
Nginx CVE-2026-42945 :
[^] # Re: Distributions
Posté par Maderios . Évalué à 3 (+1/-0).
Concernant la sécurité sur Arch, les noyaux sont mis à jour quasiment "en temps réel" en suivant l'upstream.
https://www.kernel.org/
[^] # Re: Distributions
Posté par Benoît Sibaud (site web personnel) . Évalué à 5 (+2/-0).
nginx corrigé pour bookworm et trixie https://security-tracker.debian.org/tracker/CVE-2026-42945
[^] # Re: Distributions
Posté par Krunch (courriel, site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 20 mai 2026 à 11:17.
Pendant ce temps chez Amazon, le correctif se fait toujours attendre cinq jours plus tard https://explore.alas.aws.amazon.com/CVE-2026-46333.html
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.