 La semaine dernière, le site Internet Rapid7 annonçait la découverte d'une faille de sécurité dans les drivers graphiques NVIDIA pour Linux. Il n'aura fallu que quelques jours à NVIDIA pour réagir avec la publication de nouveaux drivers et d'informations complémentaires concernant cette faille de sécurité.
Dans son annonce, Rapid7 indiquait que cette faille de sécurité serait en fait connue par NVIDIA depuis l'année 2004 et que le constructeur n'aurait rien fait pour la corriger pendant tout ce temps. Sur la page mise en place spécialement pour cette occasion, NVIDIA dément énergiquement cette accusation et précise que le problème découvert en 2004 concerne les serveurs XFree86 et X.Org et aucunement les drivers graphiques de NVIDIA. Cette confusion viendrait du fait que ce bug découvert en 2004 et celui dont il est aujourd'hui question ont les mêmes symptômes.
NVIDIA avoue cela-dit avoir été effectivement prévenu d'un problème mineur dans ses drivers graphiques Linux au mois de juillet 2006 et précise l'avoir corrigé dans les drivers 1.0-9625 beta sortis récemment. NVIDIA indique également ne pas avoir pris à ce moment conscience que ce problème pouvait en réalité causer des risques au niveau de la sécurité ce qui explique que le bug n'a pas été corrigé pour la révision 1.0-8xxx des drivers. Dès que ce problème a réellement été identifié comme étant une faille de sécurité, NVIDIA a aussitôt publié une nouvelle version des drivers 1.0-8xxx (1.0-8776) qui inclue elle aussi le correctif de cette faille de sécurité.
En ce qui concerne cette faille de sécurité, elle affecte l'option l'accélération du rendu c'est à dire l'option "RenderAccel" du serveur X. Pour se protéger de cette faille de sécurité, NVIDIA conseille soit de désactiver cette option si vous avez les drivers binaires 1.0-8762 ou 1.0-8774 qui sont les seules versions touchées soit d'installer les drivers 1.0-9xxx disponibles en version 1.0-9626 finale (non beta) soit d'installer la version 1.0-8776 si vous souhaitez absolument rester à la révision 1.0-8xxx.
NVIDIA déplore de ne pas avoir été contacté par Rapid7 (qui a été un peu trop rapide sur ce coup !) avant d'avoir publiquement communiqué à ce sujet. L'annonce de Rapid7 s'est en effet averée en partie erronée et il est toujours préférable que le correctif soit publié avant l'annonce de la découverte d'une faille. Bref, tout cela aura tout de même conduit à la correction rapide de cette faille de sécurité.
|
Modérateur TLD
|
|
Actualités
25/04/24 Crucial publie l'ISO du firmware M3CR046 pour certains SSD Crucial MX500
25/04/24 Intel Arc Graphics 101.5445 WHQL
25/04/24 Fujifilm X100VI 1.10
24/04/24 Thermalright Core Vision/Frozen Warframe 1.2.4
24/04/24 Crucial MX500 CD/USB M3CR04x M3CR046
24/04/24 Pioneer DJ DJM-A9 1.04
