Une faille kernel sur le Datagram Congestion Control Protocol a été découverte par Andrey Konovalvo, un chercheur de Google. Les correctifs commencent à arriver sur les différentes distributions.

La vulnérabilité, référencée CVE-2017-6074 utilise des techniques dites de « heap spraying ». Elles facilitent l’exploitation de failles de corruption de mémoire pour exécuter du code arbitraire à l’intérieur du noyau, lequel dispose des privilèges les plus élevés au sein de l’OS.

La faille ne peut pas être exploitées à distance, mais les vulnérabilités de privilèges locaux comme celle-ci restent dangereuses. Si cette faille est combinée avec d’autres failles elles permettraient à des pirates d’obtenir un accès distant avec un compte bénéficiant de privilèges inférieurs.

 

Les correctifs sont déjà disponible

La faille est exploitable si le noyau contient l’option CONFIG_IP_DCCP. La plupart des distributions Linux utilisent des noyaux ayant cette option. Red Hat a annoncé que les noyaux Red Hat Enterprise Linux 5, 6, 7 et Red Hat Enterprise MRG 2 étaient affectés. L’éditeur a déjà livré des correctifs pour Red Hat Enterprise Linux 6 et 7 et pour Red Hat Enterprise Linux for Real Time for NFV (version 7) (kernel-rt).

Du côté de Debian les packs kernel sont disponible pour Debian 7 Wheezy et Debian 8 Jessie. Les versions Debian Stretch et Sid n’ont pas encore été corrigées. Ubuntu est pour le moment le meilleur élève puisque toute les versions encore maintenu sont corrigé, Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 16.04 LTS et Ubuntu 16.10.

Pour Suse, seul Suse Linux Enterprise Server 10 est concerné et les correctifs ne sont disponibles que pour les clients bénéficiant d’un support à long terme. Les noyaux 1 à 4 de Suse Linux Enterprise Server 11 SP et 1 et 2 de Suse Linux Enterprise Server 12 SP ne supportent pas le protocole DCCP.

Si votre distribution n’a pas encore le correctif, vous pouvez désactiver manuellement le module DCCP du noyau.