Un exploit de preuve de concept a été publié pour CVE-2025-8941, une faille de haute gravité dans le module pam_namespace de Linux-PAM. La vulnérabilité permet aux attaquants locaux dotés de privilèges faibles d'obtenir un accès root via des conditions de course et une manipulation de liens symboliques. Les experts en sécurité exhortent à appliquer immédiatement des correctifs pour prévenir le compromis du système.
La vulnérabilité, suivie sous CVE-2025-8941, affecte les Modules d'Authentification Extensibles (PAM) utilisés dans diverses distributions Linux. Découverte dans le module pam_namespace, qui gère les espaces de noms par utilisateur, la faille provient d'une gestion incorrecte des chemins contrôlés par l'utilisateur lors de la configuration de l'espace de noms. Notée 7.8 élevée sur l'échelle CVSS, elle nécessite un accès local et une interaction de l'utilisateur, mais n'exige que de faibles privilèges de l'attaquant.
Les attaquants peuvent exploiter une condition de course lors de la création de dossiers en créant des liens symboliques qui redirigent le processus de création de répertoires de PAM vers des emplacements système sensibles. Lorsque chronométré correctement, cela permet la création ou la modification de fichiers avec autorité root, menant à un contrôle total du système, une fuite potentielle de données et la capacité de désactiver les configurations de sécurité ou d'installer des portes dérobées.
La preuve de concept, publiée le 20 octobre 2025, démontre comment le timing du système de fichiers peut être manipulé pour une escalade de privilèges root. Cela accroît les risques dans les systèmes partagés, les serveurs multi-utilisateurs et les environnements de développement, où l'accès local est courant. Bien que la complexité de l'attaque soit modérée, les conséquences pour les systèmes non corrigés sont graves, incluant un compromis complet ou l'exposition de données confidentielles.
Toutes les versions de Linux-PAM antérieures au dernier correctif du fournisseur sont vulnérables. Les administrateurs doivent mettre à jour via les canaux de sécurité de leur distribution immédiatement. Les mesures d'atténuation temporaires incluent la surveillance de créations de liens symboliques inhabituelles, le déploiement de systèmes de détection d'intrusion sur l'hôte, la restriction des permissions d'écriture dans les répertoires temporaires et l'isolation des utilisateurs non privilégiés. Cependant, seul le correctif officiel résout pleinement le problème, soulignant la nécessité d'une gestion robuste des correctifs contre les vulnérabilités subtiles du système de fichiers.