Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut prédire les aléas des fonctionnalités utilisant
la fonction net_get_random_once() du noyau Linux, afin d’usurper
une session réseau.

– Produits concernés : Linux
– Gravité : 2/4
– Date création : 02/10/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Le noyau Linux utilise la fonction net_get_random_once() pour
générer un aléa, utilisé ensuite pour générer les champs
net_secret, syncookie_secret, et inet_ehash_secret (IP ID, TCP
Sequence Number, Ephemeral Port Number).

Cependant, dans certains cas, cet aléa n’est pas initialisé.

Un attaquant peut donc prédire les aléas des fonctionnalités
utilisant la fonction net_get_random_once() du noyau Linux, afin
d’usurper une session réseau.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Noyau-Linux-predictibilite-de-net-get-random-once-15435