Révélation d’informations sensibles par le biais de la fonction do_coredump() dans la kernel Linux 2.4.x et 2.6.x.

blake frantz a rapporté une vulnérabilité, classifiée comme “faiblement critique”, dans le kernel Linux, qui pourrait être exploitée par un utilisateur local malveillant pour révéler des informations sensibles.

La vulnérabilité est due à une erreur dans la fonction “do_coredump()” du script “fs/exec.c” qui ne vérifie par correctement l’ID de l’utilisateur d’un fichier core dump, lorsque les informations sont insérées dans ce fichier. Cette erreur peut être exploitée pour obtenir l’accès à des informations sensibles en incitant une application ayant un autre ID utilisateur à saisir ses données dans un fichier déjà existant.

La vulnérabilité a été rapportée pour les versions 2.4.x et 2.6.x antérieures à la version 2.6.24-rc4.
Le fournisseur propose la mise à jour 2.6.24-rc4 pour combler cette vulnérabilité.

Source : Kataz.com

Share This

les utilisateurs des services en ligne de Google menacés de vol de données privées. En quelques jours seulement, plus d’une dizaines de failles ont été découvertes dans ces services en ligne.

En tête de liste Gmail et Picasa, dans le premier une simple animation flash permet parait-il de s’emparer de toutes les données (y compris les emails) d’un autre utilisateur du service. et dans le deuxième, avec une simple manipulation d’URI, un pirate peut avoir accès à des clichés d’autres personnes utilisant le service.

espérant que google réagira vite et corrigera ces aberrations sans plus tarder.

Share This