Les versions 2.4.2x et 2.6.x du coeur de Linux, qui forment la base de nombreuses applications et distributions, doivent être corrigées rapidement. Les patches ad hoc sont déjà disponibles.
Une nouvelle faille vient d’être détectée dans le noyau Linux. Ses versions 2.4.2x et 2.6.x, sur plates-formes 32 comme 64 bits, sont concernées.
La vulnérabilité a été mise à jour par hasard par deux développeurs. Une personne malveillante pourrait l’exploiter pour bloquer à distance un système en tapant quelques lignes de code simple en langage C, comme l’indique un bulletin de sécurité posté ce week-end sur le site spécialisé Linuxreviews.org.
Les patches sont déjà disponibles en téléchargement . Les utilisateurs de systèmes Linux doivent les installer rapidement car le code malveillant a déjà été publié sur internet. «Dites-vous que votre noyau est (vulnérable), sauf si vous avez de bonnes raisons de penser le contraire», prévient Oyvind Saether, l’un des deux développeurs qui a repéré la faille.
Une faille jugée non critique
Selon Andrew Morton, architecte en chef ("mainteneur" pour les adeptes) du "kernel" 2.6, la vulnérabilité n’est pas très grave. Il précise toutefois que les développeurs qui l'ont trouvée n’ont pas respecté la règle de la "divulgation responsable" (responsible disclosure). Pour être crédités de la découverte, ils ont publié le code malveillant sans prévenir l’équipe de développement du noyau. Ce qui ne se fait pas entre développeurs honnêtes lorsqu'il s'agit de sécurité, a-t-il ajouté.
Le patch a été également appliqué au prochain noyau Linux (version 2.6.7-RC3), dont la sortie est imminente. Par ailleurs, la distribution Fedora Core 2, basée sur le noyau 2.6, vient d’être mise à jour par Red Hat. Cela devrait être le cas d’autres distributions Linux cette semaine.
Au début du mois, six vulnérabilités été décelées dans le CVS (Concurrent Versions System), une plate-forme de gestion de projets sur laquelle sont hébergés bon nombre de développements open source. En mars et en avril, des systèmes basés sur Linux et Solaris ont été pris pris pour cible dans plusieurs centres de calcul informatique universitaires aux États-Unis.
Source
Slts @ tous -DELL-
