Vulnérabilité dans le noyau de Linux

Date de publication :

CVE-2022-24122[Score CVSS v3.1: 8.8]

Une vulnérabilité concernant une utilisation incorrecte de la mémoire dynamique (user-after free) a été identifiée dans le fichier ucount.c du noyau de Linux. Lorsque « namespaces » est activé dans la table des utilisateurs non privilégiés, certaines données liées à ces comptes peuvent être réutilisées ultérieurement.  « namespace » est une fonction qui permet de définir les ressources qu’un ensemble de processus peut voir.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Élévation de privilèges

Criticité

    Score CVSS v3.1: 8.8

La faille est activement exploitée

    Non

Un correctif existe

    Oui

Une mesure de contournement existe

    Non, mais une solution d’atténuation existe.

Les vulnérabilités exploitées sont du type    

Détails sur l’exploitation

Pour la CVE-2022-24122

    Vecteur d’attaque : Réseau

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

 

Composants vulnérables.

    Les versions 5.14 à 5.16.4 du noyau de Linux.

Solutions ou recommandations

  • Un correctif est disponible ici.
  • Des informations supplémentaires sont disponibles ici.
  • Il n’existe pas de solution de contournement, mais il est possible d’atténuer le problème :
    Désactiver « namespaces » pour les utilisateurs non privilégiés 

    kernel.unprivileged_userns_clone=0

Liens