Le consortium Debian a averti d'une faille sérieuse dans les versions du noyau Linux antérieures à la 2.4.23. Selon Debian, la vulnérabilité permet à un utilisateur mal intentionné de gagner un droit d'accès root sur les postes et serveurs Linux non mis à jour. Debian a lui-même fait les frais de la faille à la fin du mois de novembre, au cours d'une attaque qui a compromis les quatre serveurs hébergeant le système de suivi de bug, le site web et la mailing list du consortium.

Dans un interview par e-mail, Linus Torvalds a confirmé à IDG News Service que la faille ne peut être exploité que par une personne qui dispose déjà d'un compte utilisateur sur la machine visée, ce qui en limite la portée. Ironiquement, Debian était au courant depuis longtemps du problème. Le bug dans le noyau a en effet été découvert en septembre par Andrew Morton l'un des développeurs du noyau et a été corrigé à partir de la version 2.4.23 du noyau. Mais les distributeurs Linux ont retardé la sortie d'un correctif afin d'apporter une réponse coordonnée.

Depuis hier, des correctifs sont ainsi disponibles pour les principales distributions dont celles de Red Hat, Debian et Mandrake. Les utilisateurs de versions de noyau antérieures à la 2.4.23 sont invités à les appliquer le plus rapidement possible.

. Web-profils.com, la place de marché du conseil et de l'ingénierie