Multiples vulnérabilités dans le noyau Linux
Date de publication :
De multiples vulnérabilités ont été publiées pour le noyau Linux. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, un déni de service et / ou une exécution de code arbitraire.
CVE-2019-19807 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le sous-système ALSA (Advanced Linux Sound Architecture) du noyau Linux. Elle est due à un défaut mémoire et peut permettre à un attaquant local ayant des privilèges faibles de provoquer un déni de service ou une exécution de code arbitraire.
CVE-2020-10757 [Score CVSS v3 : 7.8] : Une vulnérabilité de type élévation de privilèges a été découverte dans mremap. Elle est due à un traitement incorrect de DAX Huge Pages. Un attaquant local possédant des privilèges faibles peut exploiter cette vulnérabilité.
CVE-2020-12653 [Score CVSS v3 : 7.8] : Une vulnérabilité de type élévation de privilèges a été découverte dans la fonction mwifiex_cmd_append_vsie_tlv() du pilote Marvell WiFi-Ex intégré au noyau Linux. Elle est due à un traitement incorrect d’éléments d'informations spécifiques aux constructeurs. Un attaquant local possédant des privilèges faibles peut exploiter cette vulnérabilité.
CVE-2020-12654 [Score CVSS v3 : 7.1] : Une vulnérabilité de type dépassement de tas a été découverte dans le pilote mwifiex de Marvell intégré au noyau Linux. Un attaquant à portée du signal WiFi de la machine vulnérable peut provoquer un impact non-spécifié en présentant un point d’accès spécialement configuré. Les impacts typiques de cette catégorie de vulnérabilités incluent le déni de service et l’exécution de code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Elévation de privilèges
Déni de service
Exécution de code arbitraire
Criticité
Score CVSS v3 : 7.8 au maximum
Existence d’un code d’exploitation
Des codes d’exploitation sont disponibles pour les vulnérabilités CVE-2019-19807 et CVE-2020-10757
Composants vulnérables
Red Hat Enterprise Linux pour x86_64 8 x86_64
Red Hat Enterprise Linux pour Real Time pour NFV 8 x86_64
Red Hat Enterprise Linux pour x86_64 - Extended Update Support 8.2 x86_64
Red Hat Enterprise Linux Server - AUS 8.2 x86_64
Red Hat Enterprise Linux pour IBM z Systems 8 s390x
Red Hat Enterprise Linux pour IBM z Systems - Extended Update Support 8.2 s390x
Red Hat Enterprise Linux pour Power, little endian 8 ppc64le
Red Hat Enterprise Linux pour Power, little endian - Extended Update Support 8.2 ppc64le
Red Hat Enterprise Linux Server - TUS 8.2 x86_64
Red Hat Enterprise Linux pour ARM 64 8 aarch64
Red Hat Enterprise Linux pour ARM 64 - Extended Update Support 8.2 aarch64
Red Hat Enterprise Linux Server (pour IBM Power LE) - Update Services pour SAP Solutions 8.2 ppc64le
Red Hat Enterprise Linux Server (pour IBM Power LE) - Update Services pour SAP Solutions 8.0 ppc64le
Red Hat Enterprise Linux Server - Update Services pour SAP Solutions 8.2 x86_64
Red Hat Enterprise Linux Server - Update Services pour SAP Solutions 8.0 x86_64
Red Hat CodeReady Linux Builder pour x86_64 8 x86_64
Red Hat CodeReady Linux Builder pour Power, little endian 8 ppc64le
Red Hat CodeReady Linux Builder pour ARM 64 8 aarch64
Red Hat CodeReady Linux Builder pour x86_64 - Extended Update Support 8.2 x86_64
Red Hat CodeReady Linux Builder pour Power, little endian - Extended Update Support 8.2 ppc64le
Red Hat CodeReady Linux Builder pour ARM 64 - Extended Update Support 8.2 aarch64
Ubuntu 20.04 LTS
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
CVE
CVE-2019-3016
CVE-2019-12380
CVE-2019-16089
CVE-2019-19462
CVE-2019-19807
CVE-2019-19947
CVE-2019-20810
CVE-2019-20908
CVE-2020-10732
CVE-2020-10757
CVE-2020-10766
CVE-2020-10767
CVE-2020-10768
CVE-2020-11935
CVE-2020-12653
CVE-2020-12654
CVE-2020-12888
CVE-2020-13974
CVE-2020-15780
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les paquets correspondant au noyau Linux
Solution de contournement
Aucune solution de contournement