[Linux] Faille critique corrigée dans le noyau 2.6.30 et polémique
Brad Spengler, responsable du projet grsecurity, a réussi à exploiter une faille critique dans le noyau 2.6.30 (corrigée dans le 2.6.30.2). Initialement considérée comme un "simple" bug non dangereux, le programmeur a prouvé, code d'exploit à l'appui, que la faille était bien réelle. C'est une optimisation de GCC, le compilateur C libre, qui permet d'exploiter la faille, qui rend possible la désactivation de dispositifs de sécurité comme SELinux, AppArmor ou LSM.
L'auteur de cette découverte fustige les auteurs du noyau linux dans les commentaires de son code source, en leur reprochant leur politique de développement, notamment la gestion des bugs dont l'impact sur la sécurité serait sous-évalué.
Pas de panique cependant si vous utilisez le noyau par défaut de votre distribution : aucune d'entre elle n'utilise encore cette version.
L'expoit commenté
http://article.gmane.org/gmane.comp....sclosure/68469
Partager