Linux - CVE-2025-6019
Date de publication :
Un défaut dans libblockdev permet à un attaquant authentifié en tant qu’utilisateur simple d’élever ses privilèges et d’obtenir les droits root.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
La vulnérabilité exploitée est du type
CWE-250: Execution with Unnecessary Privileges
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Le paquet libblockdev sous Debian
bullseye : versions antérieures à 2.25-2+deb11u1
bookworm : versions antérieures à 2.28-2+deb12u1
sid et trixie : versions antérieures à 3.3.0-2.1
Le paquet libblockdev sous Red Hat
Red Hat Enterprise Linux 7 : toutes versions
Red Hat Enterprise Linux 8 : toutes versions
Red Hat Enterprise Linux 9 : toutes versions
Red Hat Enterprise Linux 10 : toutes versions
Le paquet libblockdev sous Ubuntu
18.04 LTS bionic : versions antérieures à 2.16-2ubuntu0.1~esm1
20.04 LTS focal : versions antérieures à 2.23-2ubuntu3+esm1
22.04 LTS jammy : versions antérieures à 2.26-1ubuntu0.1
24.04 LTS noble : versions antérieures à 3.1.1-1ubuntu0.1
24.10 oracular : versions antérieures à 3.1.1-2ubuntu0.1
25.04 plucky : versions antérieures à 3.3.0-2ubuntu0.1
Solutions ou recommandations
Mettre à jour le paquet libblockdev sous Debian vers la version 2.25-2+deb11u1, 2.28-2+deb12u1, 3.3.0-2.1 ou ultérieure.
Mettre à jour le paquet libblockdev sous Ubuntu vers la version 2.16-2ubuntu0.1~esm1, 2.23-2ubuntu3+esm1, 2.26-1ubuntu0.1, 3.1.1-1ubuntu0.1, 3.1.1-2ubuntu0.1, 3.3.0-2ubuntu0.1 ou ultérieure.
À ce jour, aucune mise à jour n’est disponible pour les distributions Red Hat.
Des informations complémentaires sont disponibles dans les bulletins de Debian, Red Hat et Ubuntu.