Plateforme
linux
Composant
util-linux
Corrigé dans
2.41.5
Une condition de concurrence (Race Condition) a été découverte dans util-linux, une collection d'utilitaires Linux. Cette vulnérabilité, de type TOCTOU (Time-of-Check-Time-of-Use), affecte le binaire SUID /usr/bin/mount avant la version 2.41.4. L'exploitation réussie pourrait permettre à un attaquant local de compromettre le système. La version corrigée est 2.41.4.
Cette vulnérabilité TOCTOU dans le binaire mount d'util-linux permet à un attaquant local de manipuler le chemin du fichier source lors de la création de périphériques loop. Le processus de montage effectue une vérification initiale du chemin avec les privilèges de l'utilisateur, puis le re-canonicalise et l'ouvre avec les privilèges root sans vérification supplémentaire. Cela permet à un attaquant de remplacer le fichier entre ces deux opérations, potentiellement en pointant vers un fichier malveillant. L'attaquant pourrait ainsi exécuter du code arbitraire avec les privilèges root, compromettant ainsi la sécurité du système. Bien que l'exploitation nécessite un accès local, l'impact est significatif en raison de l'élévation de privilèges.
Cette vulnérabilité a été divulguée publiquement le 3 avril 2026. La probabilité d'exploitation est considérée comme modérée (CVSS 4.7). Aucune preuve d'exploitation active n'a été signalée à ce jour. Il n'est pas listé sur le KEV de CISA. L'exploitation repose sur une manipulation temporelle, ce qui peut la rendre plus difficile à exploiter que d'autres vulnérabilités, mais le potentiel d'élévation de privilèges en fait une menace sérieuse.
Systems running older versions of util-linux, particularly those with shared user accounts or where users have elevated privileges, are at increased risk. Environments utilizing loop devices extensively, such as containerized deployments or virtual machine setups, should prioritize patching.
• linux / server:
journalctl -g 'mount' -f | grep -i 'realpath'• linux / server:
auditctl -w /usr/bin/mount -p wa -k mount_race• linux / server:
lsof /usr/bin/mountdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour util-linux vers la version 2.41.4 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au binaire mount ou de désactiver la fonctionnalité de périphériques loop si elle n'est pas essentielle. En attendant la mise à jour, une solution de contournement pourrait consister à appliquer des règles de pare-feu pour limiter l'accès au binaire mount aux utilisateurs autorisés. Il n'existe pas de signature Sigma ou YARA spécifique connue pour cette vulnérabilité, mais surveillez les tentatives d'accès non autorisées au binaire mount et les modifications inattendues des fichiers système. Après la mise à jour, vérifiez que le binaire mount fonctionne correctement et que les périphériques loop peuvent être créés sans erreur.
Mettez à jour le paquet util-linux à la version 2.41.4 ou supérieure pour atténuer la vulnérabilité TOCTOU. Cette mise à jour corrige la validation incorrecte du chemin du fichier source lors de la configuration des périphériques en boucle, empêchant l'exécution de code arbitraire en tant que root.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27456 is a Race Condition vulnerability in util-linux versions before 2.41.4 affecting the /usr/bin/mount binary, allowing potential privilege escalation.
You are affected if you are running util-linux versions prior to 2.41.4. Check your system's util-linux version to determine if you are vulnerable.
Upgrade util-linux to version 2.41.4 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting access to /usr/bin/mount.
There is currently no indication of active exploitation campaigns or publicly available exploits for CVE-2026-27456.
Refer to the official util-linux project website or relevant security mailing lists for the advisory related to CVE-2026-27456.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.