Brad Spengler, l’auteur de grsecurity (un module de sécurité pour Linux) vient de découvrir une faille importante dans le noyau Linux 2.6.30.
Code d’exemple à l’appui, il montre qu’il est en mesure d’utiliser cette vulnérabilité pour couper des systèmes de sécurité, comme SELinux, AppArmor ou LSM. Ceci fonctionne aussi bien avec les versions 32 bits que 64 bits du noyau. Comble du comble « avoir SELinux activé affaiblit la sécurité du système face à ce type d’exploits », révèle Brad Spengler.
Lors de la lecture du code source incriminé le bogue semblait pourtant inexploitable. « C’est grâce à certaines optimisations du GCC qu’il le devient », précise Brad Spengler, qui s’est par ailleurs lâché dans les commentaires du code source de son exploit. Le moins que l’on puisse dire c’est que les personnes chargées de gérer le développement du noyau Linux en prennent pour leur grade, sur le ton de « je vous avais prévenu ».
Si l’impolitesse et la rudesse de Brad peuvent être critiquées (lequel n’en est pas à son premier dérapage verbal), la faille est toutefois bien réelle et certaines remarques sont justifiées. Il n’en fallait pas plus pour lancer la polémique, laquelle risque fort de durer.
Cette vulnérabilité est corrigée dans la mouture 2.6.30.2 du noyau Linux, qui remet les choses en place et demande par la même occasion à GCC de ne plus enlever le code testant les pointeurs nuls. C’est en utilisant ce type d’optimisation que la faille était devenue exploitable.
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…