Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut provoquer une boucle infinie dans la couche FUSE
du noyau Linux, afin de mener un déni de service.

Produits concernés : Debian, Linux, SUSE Linux Enterprise
Desktop, SLES, Ubuntu.

Gravité : 2/4.

Date création : 25/01/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

FUSE est une interface permettant de réaliser une système de
fichier en espace utilisateur plutôt que directement dans le
noyau.

Le noyau contient une interface délégant les appels système
relatifs à un fichier géré par un montage de type FUSE à un
processus utilsateur. Une écriture peut être spécifiée en
passant plusieurs paires (pointeur, longueur) au noyau. Cependant,
la présence d’une paire indiquant une longueur nulle empêche de
terminer le parcours de la liste de paires, ce qui bloque le noyau
dans ce parcours.

Un attaquant peut donc provoquer une boucle infinie dans la couche
FUSE du noyau Linux, afin de mener un déni de service.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Noyau-Linux-boucle-infinie-dans-FUSE-18809