Les chercheurs de la société de sécurité Qualys ont publié des informations sur deux failles, CVE-2025-6018 et CVE-2025-6019. Leur exploitation conjointe permet d’obtenir des droits root, donc complets sur le système.
CVE-2025-6018 réside dans la configuration de Pluggable Authentication Modules (PAM) d'openSUSE Leap 15 et de SUSE Linux Enterprise 15. Elle permet à un attaquant local sans privilège d’obtenir les droits « allow_active » d’un utilisateur connecté localement. Pas besoin pour l’attaquant d’être physiquement présent : une session SSH distante fonctionne aussi.
Pour comprendre la faille, il faut savoir que PAM est chargé de contrôler comment les utilisateurs s’authentifient et démarrent les sessions Linux. La faille réside dans une erreur de configuration. Et quelle erreur, puisque PAM traite toute connexion locale comme si la personne était physiquement présente devant la console. Dans le cas présent, l’exploitation réussie de cette faille autorise celle de la seconde.
Celle-ci, CVE-2025-6019, se situe dans la bibliothèque libblockdev et peut être exploitée via le service (daemon) udisks pour obtenir les droits root. Contrairement à la première faille, cette vulnérabilité peut être exploitée dans toutes les distributions où le service udisks est activé par défaut, autrement dit la grande majorité. Le service établit un pont entre les droits allow_active et root, permettant de décrocher le précieux sésame, l’attaquant obtenant alors carte blanche.
« Ces exploits modernes "local-to-root" ont réduit le fossé entre un utilisateur connecté ordinaire et une prise de contrôle complète du système. En enchaînant des services légitimes tels que les montages en boucle udisks et les bizarreries PAM/environnement, les attaquants qui possèdent une interface graphique ou une session SSH active peuvent franchir la zone de confiance allow_active de polkit et prendre le contrôle du système en quelques secondes. Rien d'exotique n'est nécessaire : chaque lien est préinstallé sur les distros Linux courantes et leurs versions serveur », indique Saeed Abbasi, responsable chez Qualys.
Les correctifs nécessaires sont en cours de diffusion dans un nombre croissant de distributions Linux. Il est donc recommandé de vérifier leur disponibilité. Les chercheurs pointent une méthode en attendant : dans les règles de Polkit, modifier « org.freedesktop.udisks2.modify-device » pour qu’une authentification administrateur soit systématiquement réclamée. Le paramètre « allow_active » doit alors être modifié en « auth_admin ».
Commentaires (8)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 19/06/2025 à 12h23
sudo more /usr/share/polkit-1/rules.d/org.freedesktop.GeoClue2.rules
polkit.addRule(function(action, subject) {
if ((action.id == "org.freedesktop.ModemManager1.Device.Control" ||
action.id == "org.freedesktop.ModemManager1.Location") &&
subject.user == "geoclue") {
return polkit.Result.YES;
}
});
Le 19/06/2025 à 12h40
Et j'ai vu passer la correction de l'autre vulnérabilité (CVE-2025-6019) hier.
Le 19/06/2025 à 13h27
Le 19/06/2025 à 14h48
Le 19/06/2025 à 15h56
pas /usr/share/polkit-1/rules.d/org.freedesktop.GeoClue2.rules
Le 19/06/2025 à 12h54
Le 20/06/2025 à 14h32
- CVE-2025-6018
- CVE-2025-6019
Pour CVE-2025-6019 & la version stable (12 Bookworm), il semble bien que ce soit du code C qui ait été corrigé, et non un fichier de configuration ?
Le 21/06/2025 à 11h42