Une vulnérabilité de haute gravité dans le framework Linux Pluggable Authentication Modules, identifiée sous CVE-2025-8941, permet aux attaquants locaux d'obtenir des privilèges root via des attaques par liens symboliques et des conditions de course. Des chercheurs en sécurité ont publié un exploit de preuve de concept, soulignant les risques pour les systèmes Linux. La faille affecte plusieurs distributions et nécessite des correctifs immédiats.
La vulnérabilité CVE-2025-8941 a été divulguée le 19 octobre 2025, visant le module pam_namespace dans Linux-PAM, qui gère les espaces de noms pour les sessions utilisateur. Ce problème provient d'une gestion inadéquate des chemins contrôlés par l'utilisateur, permettant aux attaquants ayant un accès local et des privilèges bas d'insérer des liens symboliques qui détournent les processus de création de répertoires. En exploitant une condition de course, les attaquants peuvent tromper le système pour qu'il construise des structures sensibles sur le système de fichiers racine, menant à une escalade complète des privilèges root.
Notée 7.8 sur l'échelle CVSS v3.1, la vulnérabilité nécessite une certaine interaction utilisateur mais ne présente aucun risque d'exploitation à distance. Elle affecte toutes les versions de Linux-PAM antérieures aux derniers correctifs dans les distributions telles qu'Ubuntu, Fedora et Red Hat Enterprise Linux. Dans des environnements multi-utilisateurs, cela pourrait permettre à des utilisateurs à privilèges bas de devenir superutilisateurs, potentiellement entraînant un compromis du système et des violations de données.
Les experts en sécurité insistent sur la nécessité d'une attention immédiate, en particulier pour les serveurs et ordinateurs de bureau dépendant de Linux-PAM pour l'authentification. Un exploit de preuve de concept a été publié, démontrant la faisabilité de l'attaque via des scripts sophistiqués et une synchronisation temporelle. Bien que des outils comme les pare-feu d'applications web ou les systèmes de détection d'intrusion offrent une protection limitée contre les menaces réseau, ils ne traitent pas les exploits locaux.
Les administrateurs sont invités à appliquer les correctifs des fournisseurs de distributions dès qu'ils sont disponibles, à auditer les privilèges des utilisateurs locaux, à désactiver les fonctionnalités inutiles de pam_namespace et à surveiller les activités suspectes de liens symboliques à l'aide d'outils tels qu'auditd. Cette divulgation met en lumière les défis persistants dans la sécurisation des systèmes d'authentification open-source face à des menaces en évolution.