Si elles sont exploitées, ces failles peuvent permettre aux attaquants d'obtenir un accès non autorisé à des informations sensibles ou de causer des problèmes en général.
Récemment, la nouvelle a annoncé que chercheur en sécurité Davide Ornaghi, a découvert récemment une nouvelle vulnérabilité d'élévation de privilèges dans le noyau Linux qui pourrait permettre à un attaquant local d'exécuter du code sur les systèmes affectés avec des privilèges élevés.
Vulnérabilité déjà catalogué sous CVE-2023-0179, est dû à un bogue débordement de tampon basé sur la pile qui existe dans le sous-système Netfilter, par lequel un attaquant peut exploiter cette faille pour obtenir des privilèges root élevés en exécutant un programme qui a été soigneusement écrit à cet effet.
Pour ceux d'entre vous qui découvrent Netfilter, sachez qu'il s'agit d'un cadre fourni par le noyau Linux qui permet d'implémenter diverses opérations liées au réseau sous la forme de pilotes personnalisés.
Netfilter offre plusieurs fonctions et opérations pour le filtrage de paquets, la traduction d'adresses réseau et la traduction de ports, qui fournissent les fonctionnalités requises pour diriger les paquets à travers un réseau et empêcher les paquets d'atteindre des emplacements sensibles au sein d'un réseau. .
Le chercheur en sécurité, le chercheur en sécurité Davide Ornaghi, mentionne que :
"La vulnérabilité consiste en un débordement de tampon de pile dû à une vulnérabilité de sous-dépassement d'entier dans la fonction nft_payload_copy_vlan, qui est appelée avec les expressions nft_payload tant qu'une balise VLAN est présente dans le skb en cours d'exécution", explique Ornaghi.
En fait, le noyau Linux dispose d'un cadre connu sous le nom de Netfilter pour implémenter une variété d'actions liées au réseau sous la forme de contrôleurs individualisés. Cela peut être fait en filtrant les paquets réseau entrants. Netfilter offre plusieurs fonctions pour le filtrage de paquets, la traduction d'adresses réseau et la traduction de ports.
Ces fonctions permettent à Netfilter de fournir les fonctionnalités nécessaires pour diriger les paquets à travers un réseau. Selon le chercheur en sécurité, le noyau Linux 6.2.0-rc1, sorti en octobre, est vulnérable à la faille CVE-2023-0179.
Dans l'instruction if, il vérifie correctement la limite d'en-tête à l'aide les variables offset et len (ints non signés 8 bits), évaluées à true tant que offset + len dépasse l'en-tête VLAN à double balise.
L'utilisation d'instructions en ligne évite avec succès les wrappers car u8 les types sont automatiquement promus avant la comparaison.
Cette vulnérabilité peut être exploitée pour entraîner la divulgation des adresses de pileet la possibilité d'une élévation locale des privilèges à l'utilisateur root en exécutant du code arbitraire. Les utilisateurs sont fortement encouragés à mettre à jour leurs serveurs Linux dès que possible et à appliquer les correctifs de distribution dès qu'ils sont disponibles.
Il est mentionné que si ce bogue ne peut pas être corrigé pour le moment dans votre système, la solution temporaire est la désactivation des espaces de noms d'utilisateurs non privilégiés empêchera leur exploitation.
Pour cela, lancez simplement la commande suivante dans un terminal :
sysctl -w kernel.unprivileged_userns_clone = 0Il convient de rappeler que le mois dernier, une grave vulnérabilité a été découverte avec un score CVSS de 10 sur le serveur SMB du noyau Linux. La faille donne à un utilisateur non authentifié la possibilité d'exécuter du code à distance, c'est donc également une bonne idée de n'autoriser l'accès aux systèmes locaux qu'à des personnes de confiance et de vérifier en permanence les systèmes compromis.
La vulnérabilité découverte dans le noyau le mois passé permet l'exécution de code arbitraire sur les installations concernées. L'authentification n'est pas requise pour exploiter cette vulnérabilité, mais seuls les systèmes avec ksmbd activé sont vulnérables. Le défaut spécifique existe dans le traitement de la commande.SMB2_TREE_DISCONNECT.
Le problème résulte de la non-validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut exploiter cette vulnérabilité afin d'exécuter du code dans le contexte du noyau. Linux a publié une mise à jour pour corriger cette vulnérabilité.
Enfin, comme toujours, la recommandation est faite à chacun d'effectuer immédiatement les mises à jour pertinentes de ses systèmes, en plus d'appliquer les correctifs disponibles dès qu'ils sont disponibles.
source: https://seclists.org