Multiples vulnérabilités dans le noyau Linux de SUSE
Date de publication :
Plus d'une quarantaine de vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Les plus critiques d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
CVE-2019-14895 [ CVSS v3 : 9.8 ] : Une faille dans la gestion de la mémoire dans le pilote de la puce WiFi Marvell présent dans les noyaux Linux pour les versions 3.x et 4.x antérieures à la version 4.18.0 permet à un attaquant de provoquer un déni de service ou l'exécution de code arbitraire. Cette faille peut être exploitée lorsque la station vulnérable négocie une connexion avec un périphérique distant.
CVE-2019-19065 [ CVSS v3 Base score : 7.5 ] : Une fuite de mémoire dans la fonction sdma_init() du fichier drivers/infiniband/hw/hfi1/sdma.c du noyau Linux pour les versions antérieures à la 5.3.9 peut permettre à un attaquant de provoquer un déni de service par surconsommation de la mémoire. Le déni de service se produit en déclenchant des erreurs lors d'appels à la fonction rhashtable_init().
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire à distance.
- Déni de service à distance.
- Atteinte à la confidentialité des données.
Criticité
- CVSS : 9.8 max
Existence d’un code d'exploitation
- Aucun code d'exploitation n'est actuellement disponible.
Composants vulnérables
- SUSE OpenStack Cloud Crowbar 8
- SUSE OpenStack Cloud 8
- SUSE Linux Enterprise Server pour SAP 12-SP3
- SUSE Linux Enterprise Server 12-SP3-LTSS
- SUSE Linux Enterprise Server 12-SP3-BCL
- SUSE Linux Enterprise High Availability 12-SP3
- SUSE Enterprise Storage 5
- SUSE CaaS Platform 3.0
- HPE Helion Openstack 8
- SUSE Linux Enterprise Workstation Extension 15
- SUSE Linux Enterprise Module pour Open Buildservice Development Tools 15
- SUSE Linux Enterprise Module pour Live Patching 15
- SUSE Linux Enterprise Module pour Legacy Software 15
- SUSE Linux Enterprise Module pour Development Tools 15
- SUSE Linux Enterprise Module pour Basesystem 15
- SUSE Linux Enterprise High Availability 15
CVE
- CVE-2019-14895
- CVE-2019-14901
- CVE-2019-15213
- CVE-2019-15916
- CVE-2019-16231
- CVE-2019-17055
- CVE-2019-18660
- CVE-2019-18683
- CVE-2019-18805
- CVE-2019-18808
- CVE-2019-18809
- CVE-2019-19049
- CVE-2019-19051
- CVE-2019-19052
- CVE-2019-19056
- CVE-2019-19057
- CVE-2019-19058
- CVE-2019-19060
- CVE-2019-19062
- CVE-2019-19063
- CVE-2019-19065
- CVE-2019-19066
- CVE-2019-19067
- CVE-2019-19068
- CVE-2019-19073
- CVE-2019-19074
- CVE-2019-19075
- CVE-2019-19077
- CVE-2019-19227
- CVE-2019-19332
- CVE-2019-19338
- CVE-2019-19523
- CVE-2019-19524
- CVE-2019-19525
- CVE-2019-19526
- CVE-2019-19527
- CVE-2019-19528
- CVE-2019-19529
- CVE-2019-19530
- CVE-2019-19531
- CVE-2019-19532
- CVE-2019-19533
- CVE-2019-19534
- CVE-2019-19535
- CVE-2019-19536
- CVE-2019-19537
- CVE-2019-19543
- CVE-2019-19767
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Une mise à jour de noyau est disponible et doit être appliquée.
Solution de contournement
- Aucune solution de contournement n'a été identifiée en dehors de la mise à jour.