Copyfail , Dirtyfrag

[shaks2022]

Bonjour
2 failles critiques touchent l'ensemble des distributions linux, donc également la plupart des NAS commerciaux ou DIY, et il n'y a pas un mot de personne sur ce forum .

Je trouve ceci... étonnant ...

 

[EVO]

Hello, et oui il est important d'update et de redémarrer les machines ! puisqu'il s'agit d'une maj au niveau du kernel !

QNAP a confirmé que les deux failles touchent son système :

Local Privilege Escalation Vulnerability in Linux Kernel (Copy Fail) - Security Advisory

QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.

www.qnap.com

Local Privilege Escalation Vulnerability in Linux Kernel (

QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.

www.qnap.com

Copy Fail uniquement sur les modèles ARM64bits , Dirty Flag sur l'ensemble visiblement QTS et QuTS hero ( sauf quelle que ARM sur un ancien kernel )

Pour OpenMediaVault, c'est basé sur Debian Backport, si vous êtes à jour, alors c'est corrigé !

 

[yogi_om]

Salut,

Pour ces 2 failles c'est une élévation de droits d'un utilisateur non root. Donc si vous n'avez pas d'utilisateurs sur la machine en dehors de vous même le risque est nul.

Message automatiquement fusionné : aujourd'hui à 09:41

Mais mettez à jour einh !

 

[EVO]

Donc si vous n'avez pas d'utilisateurs sur la machine en dehors de vous même le risque est nul.

Alors "nul" , non, faible oui. Cela reste quand meme des failles assez importantes, elle pourrait par exemple servir au travers d'une autre faille par exemple via injection de code dans un conteneur exposé servir a prendre les droits root.

Donc, veillez quand meme a mettre à jour dés que possible dans tous les cas !

 

[shaks2022]

Nul, c'est pas ce qu'on t'explique ici :

Copy Fail (CVE-2026-31431) : Synthèse technique sur cette faille Linux

Bonjour à tous, Dans cet article, que je prends le temps d'écrire le 3 mai (donc avec les infos que j'ai au 3 mai), je souhaite vous parler plus en détail de cette vulnérabilité Copy Fail. Je n'ai pas vu d'infos techniques en français...

www.linuxtricks.fr

 

[shaks2022]

Pas un mot non plus à propos des mitigations manuelles qu'on pourrait mettre en place soi même au besoin....
Le monde bouge vite en ce moment côté cyber...les éditeurs sont à la ramasse pour la plupart, ou alors ils comptent sur leur communauté ?...

 

[yogi_om]

oui vous avez raison j'ai omis les conteneurs...
Et en cascade de failles oui c'est un accès root complet mais c'est beaucoup moins trivial que la faille originale, enfin les failles que sont DirtyFrag et Copyfail : Un accès à la machine, avec quelques lignes de commande on passe root...