Reprise du message précédent :
ha en effet, le 6.12.85-1 est dispo dans les depots trixie.
installé à l'instant sur une de mes machines
(et j'ai aussi une vm sous devuan, pour lequel ce nouveau kernel est également dispo)

Aussi sur MX.

 
 
oui c'est la  faille CVE 2026-31431 elle est en place depuis 2017, toujours pas corrigée, rappelle moi la date d'aujourd'hui      
 
une video qui explique  
 
https://youtu.be/_bckyC6w9f4

et elle a été découverte quand ?

Faut juste espérer qu'elle ne sera pas exploitée entre temps. Vu la tronche de certains administrateurs systèmes, c'est pas impossible qu'il faille ( ) encore des mois pour éliminer le risque.

j'ai l'impression que les "before you can patch" instructions sont vraiment sans conséquences, chez moi ni le module est loadé ni  AF_ALG est utilisé

Ouep arrivé effectivement.
Maj parti de vm du coup.

Perso j'ai fais le test de détection de faille sur des vm au travail, le problème était bien présent.

ah ben oui, la faille on l'a tous si on est pas patché, je parle de la mitigation qui n'a pas de conséquence

 
tu penses sérieusement que des pirates ou des agences gouvernementales n'ont pas réussi a la découvrir avant    
 
surtout par des sociétés comme NSO GROUP qui vend des logiciels qui exploitent les failles et qui a fait polémique avec l'affaire PEGASUS  
 
on parle d'une faille qui existe depuis 2017 pas d'hier matin  
 
en plus comme expliqué dans la video ca concerne tous types de version linux et tous types de matériel ( des data centers, cloud etc comme des serveurs linux maison ou des pc de bureau )  
 
Copy fail : depuis 2017, une faille dans le noyau Linux permettait à un utilisateur de passer root
Une optimisation trop rapide
 
https://next.ink/236230/copy-fail-d [...] sser-root/

Et y a des chances que ça soit aussi présent sur les smartphones non?
ça facilite le passage en root ça vu la propension qu'on les constructeurs à ne pas toucher au kernel.

J'aimerais bien vérifier si sur OMV c'est le cas, mais leur dépôt est en carafe... comme leur forum XD

Ca t'empêche pas de faire un apt dist-update ou d'installer le dernier kernel depuis omv. C'est le kernel debian qui sera installé.

Il s'autoload si tu lances l'exploit.

je sais que ma phrase est toute pourrie mais je t'assure elle a du sens (dans ma tête )

et de fait la question de savoir pkoi on utilise install plutôt que blacklist est répondu dans les premiers comments sur dlfp

https://linuxfr.org/users/vstinner/ [...] 2026-31431

edit : je parlais des "before you can patch" instructions https://copy.fail/#:~:text=Before%20you%20can%20patch qui n'ont de tout évidence aucune conséquences néfaste chez moi vu que je n'utilise pas le bouzin whatsoever

kernel patché dans bookworn et trixie

and bullseye

 
Le patch pas dispo sur les repo Google

C'est quoi les "repo google" ?

Sorry j'aurai du dire GCP.
 
Mes VM debian sur mes projets GCP utilisent des repo GCP, et actuellement pas de mise à jour kernel proposé comme sur le repo debian de base.
 
Edit : non je dis de la merde, le repo est https://deb.debian.org/debian
 
Types: deb deb-src
URIs: mirror+file:///etc/apt/mirrors/debian.list
Suites: trixie trixie-updates trixie-backports
Components: main
 
Mais il ne me propose pas de mettre à jour le kernel
 
Edit 2 : en fait c'est bon, l'image a été installée par unattended-upgrades, faut juste que je reboot les vm

Si les débianautes ont envie d'alleger leurs débian on fait ca actuellement avec AdrienLinuxtricks en live