En alvorlig sikkerhetssvakhet som påvirker alle GNU/Linux-systemer har blitt identifisert, med en CVSS-score på 9,9 av 10. Det skriver Telenors sikkerhetssenter i sitt nyhetsbrev onsdag.

Sårbarheten tillater uautorisert ekstern kjøring av kode (RCE) og er bekreftet av store aktører som Canonical og Red Hat, skriver Telenor.

Sikkerhetsforsker Simone Margaritelli avdekket sårbarheten for omkring tre uker siden, men holdt tilbake detaljer for å gi utviklere tid til å utbedre problemet, ifølge nyhetsbrevet.

Mer informasjon om svakheten skal slippes til Openwall-epostlisten 30. september. Full offentliggjøring er planlagt 6. oktober, men det er foreløpig ingen fungerende fiks tilgjengelig.

Situasjonen kompliseres av forsinkelser i tildeling av CVE-identifikatorer og uenigheter blant utviklere om sikkerhetskonsekvensene av visse aspekter ved sårbarheten. Det er så langt ukjent hvilken tjeneste som er rammet av svakheten, heter det i brevet.