Linux Kernel rt6_fill_node() : Vulnérabilité de Déni de Service
22/08/2008 16H06 Référence Secunia : SA31579 Date de publication : 2008-08-22
Risque : Non Critique. Niveau 1 sur 5. Impact : DoS Lieu : Système local
Solutions :
Solution de l'éditeur
OS :
Linux Kernel 2.6.x
Référence CVE :
CVE-2008-3686
Description :
Une vulnérabilité a été rapportée dans le noyau (kernel) Linux, qui pourrait être exploitée par des utilisateurs locaux malveillants pour causer un Déni de Service (DoS).
La vulnérabilité est causée du fait d'une erreur de déréférence de pointeur NULL dans la fonction "rt6_fill_node()" dans net/ipv6/route.c. Cela pourrait être exploité pour déclencher une panique du kernel via un "ip route get" command.
L'exploitation de ce problème est possible seulement si le IPv6 default route n'est pas paramétrée.
La vulnérabilité est rapportée en version 2.6.26.2. Les autres versions pourraient également être affectées.
Solutions :
Corrigé dans le GIT repository.
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=5e0115e500fe9dd2ca11e6f92db9123204f1327a
Restrict local accéder à des utilisateurs de confiance seulement.
Vulnérabilité découverte par :
John Gumb
Référence :
http://lkml.org/lkml/2008/8/7/230
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS
