[gull] (autre) Attaque locale root kernel Linux / risque pour les services hébergés
Marc SCHAEFER
schaefer at alphanet.ch
Fri May 8 14:05:24 CEST 2026
On Fri, May 08, 2026 at 01:13:11PM +0200, Marc SCHAEFER via gull wrote:
> Toujours ennuyeux avec du code de tiers, en particulier conteneurs,
> en particulier avec Kubernetes (conteneur privilégié).
Bon, réflexion plus en profondeur: jusqu'ici, tous ces exploits (j'en
ai vu 3, le 3e est aussi désactivé par le work-around que je viens
de poster), sont basés sur des modules kernel peu utilisés et chargés
dynamiquement (*).
Donc, sur mon infrastructure de virtualisation basée conteneur, je fais
ça après boot maintenant:
sysctl kernel.modules_disabled=1
Evidemment, ça enlève la possibilité de charger des modules dynamiquement,
mais cela a l'air de marcher (il reste toujours la possibilité de
faire une white-list au démarrage).
Ne faites pas ça si vous ne savez pas exactement ce que cela fait,
bien sûr!
(*) sauf le 1er exploit de la semaine passée, sur Red Hat et Fedora,
apparemment compilé en dur mais work-aroundable avec un reboot
kernel (option de boot), avant les patches -- ou même sans reboot
avec l'option de kernel binary patching. Je n'utilise
personnellement que du Debian.
More information about the gull
mailing list