Accueil > Nouvelles Cyber > CVE-2018-10901 dans le noyau Linux pourrait conduire à une élévation des privilèges
CYBER NOUVELLES

CVE-2018-10901 dans le noyau Linux pourrait conduire à Privilege Escalation

CVE-2018-10901 est l'identifiant d'une vulnérabilité récemment divulguée dans le noyau Linux. Plus précisement, la vulnérabilité réside dans le sous-système de virtualisation KVM, une solution de virtualisation complète pour Linux sur du matériel x86 contenant des extensions de virtualisation.




KVM en utilisant, un utilisateur peut exécuter plusieurs machines virtuelles en cours d'exécution non modifiés images Linux ou Windows. Chaque machine virtuelle dispose d'un matériel virtualisé privé: une carte réseau, disque, carte graphique, etc, comme expliqué par KVM Linux.

L'impact de la disponibilité des CVE-2018-10901 a été défini comme haut.

histoire connexes: CVE-2018-8781: 8-Year-Old Linux Kernel Bug Découvert

Présentation technique de CVE-2018-10901

La faille a été découverte par Vladis Dronov, qui a rapporté que «le code VMX ne restaure pas la GDT.LIMIT à la valeur hôte précédente, mais met plutôt à 64Ko. Avec un code corrompu TDG limiter l'espace utilisateur d'un hôte a une capacité à placer des entrées malveillantes dans la TDG, en particulier pour les variables par-cpu. Cela peut conduire à une escalade de privilège".

Le chercheur a également noté que seul Red Hat Enterprise Linux 6 est vulnérable à une éventuelle escalade de privilège qui peut être déclenchée par la faille CVE-2018-10901. Il semble que d'autres produits Red Hat ne sont pas vulnérables à cette vulnérabilité particulière.

Un correctif pour CVE-2018-10901 est déjà disponible sur Git noyau:

VMX ne restaure pas GDT.LIMIT à la valeur hôte, au lieu de cela, il met à 64Ko. Cela signifie que l'espace utilisateur hôte peut apprendre quelques bits de mémoire hôte. Fix en rechargeant GDTR quand on charge un autre Etat hôte.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord