Vigil@nce : Noyau Linux, déni de service via user_update
novembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut mettre à jour une clé cryptographique,
afin de stopper le système.
– Gravité : 1/4
– Date création : 22/11/2011
PRODUITS CONCERNÉS
– Fedora
– Linux noyau
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité keyctl permet aux utilisateurs ou aux processus
de stocker des clés dans le noyau.
La fonction user_update() du fichier security/keys/user_defined.c
est appelée lorsque l’utilisateur met à jour une de ses clés.
Cependant, si les anciennes données sont vides, la fonction
kfree_rcu() est appelée avec un pointeur NULL.
Un attaquant local peut donc mettre à jour une clé
cryptographique, afin de stopper le système.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Noyau-Linux-deni-de-service-via-user-update-11171