CVE-2025-38617
Mis à jour :
Vulnérabilité du noyau Linux : Condition de concurrence dans les sockets paquet
Une vulnérabilité a été corrigée dans le noyau Linux, affectant la gestion des sockets paquet. Elle concerne une condition de concurrence entre les fonctions packet_set_ring() et packet_notifier(). Lorsqu’un thread libère un verrou (po->bind_lock) dans packet_set_ring(), un autre thread peut exécuter packet_notifier() et traiter un événement NETDEV_UP. Cette situation, similaire à une vulnérabilité antérieure, pouvait mener à des comportements imprévus.
Points Clés:
- Nature de la vulnérabilité : Condition de concurrence (race condition) dans la gestion des sockets paquet du noyau Linux.
- Fonctions affectées :
packet_set_ring()etpacket_notifier(). - Déclenchement : Un événement
NETDEV_UPpeut survenir pendant que le verroupo->bind_lockest temporairement relâché. - Impact potentiel : Bien que le score CVSS soit de 4.7 (modéré), la description suggère qu’une exploitation réussie pourrait permettre une escalade de privilèges et une évasion de conteneur, comme l’indiquent des discussions sur les réseaux sociaux.
- Produits affectés : Noyau Linux, distributions Debian Linux.
Vulnérabilités (CVE) :
- CVE-2025-38617 : Correspond à la description de la condition de concurrence dans
net/packet.
Recommandations :
- Mise à jour du noyau : Il est fortement recommandé de mettre à jour le noyau Linux vers une version où ce problème a été résolu. Le correctif implique de définir temporairement
po->numà zéro pour maintenir le socket “décroché” jusqu’à ce que le verrou soit repris. - Surveillance des systèmes : Les administrateurs système devraient surveiller activement les mises à jour de sécurité pour le noyau Linux et les distributions concernées.