La vulnérabilité Grinch de Linux mise en avant mardi dernier par la société Alert Logic n'est pas du tout une vulnérabilité selon Red Hat. « Cette étude classe mal une fonctionnalité [liée au framework Policy Kit qui a été conçu pour aider les utilisateurs à installer et exécuter des logiciels] présentée comme un problème de sécurité », a indiqué un communiqué de Red Hat publié hier en réponse à l'information lancée par de Alert Logic. Red Hat assure le support de PolKit, un programme Open Source. En permettant aux utilisateurs d'installer des logiciels, ce qui nécessite généralement un accès root, PolKit pourrait fournir un moyen d'exécuter des programmes malveillants, par inadvertance ou autrement, a indiqué Alert Logic.
Alert Logic a également affirmé que la faille Grinch pouvait être aussi sévère que le bug Heartbleed et qu'il s'agissait d'un grave défaut de conception dans la façon dont les systèmes Linux intégrant le framework PolKit géraient les permissions des utilisateurs, ce qui pouvait permettre à des attaquants malveillants de contrôler l'accès root d'une machine. Mais selon Red Hat, il ne s'agit pas d'un bug, Linux a été conçu pour fonctionner de cette façon avec PolKit. Cette fonctionnalité peut simplement être détournée pour compromettre un système. Les développeurs d'applications et les éditeurs de distributions Linux doivent toutefois s'assurer qu'ils utilisent correctement le framework PolKit pour protéger les utilisateurs.