Multiples vulnérabilités dans Linux

Date de publication : 25/08/2022

CVE-2022-2585[Score CVSS v3.1:7.8]

Une erreur de libération de la mémoire dans le POSIX (Portable Operating System Interface) CPU timer du Kernel Linux permet à un attaquant local et authentifié, en exécutant un programme spécifiquement forgé, d’augmenter ses privilèges.

CVE-2022-2586[Score CVSS v3.1:7.8]

Une erreur de libération de la mémoire dans nf_tables, le sous-système du Kernel Linux fournissant le filtrage et la classification des paquets réseau, permet à un attaquant local et authentifié, en exécutant un programme spécifiquement forgé, d’augmenter ses privilèges.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Élévation de privilèges

Criticité

Score CVSS v3.1: 7.8 max

La faille est activement exploitée

Non, mais des Preuves de concepts sont disponibles en sources ouvertes.

Un correctif existe

Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

Non, pour l’ensemble des CVE présentées.

La vulnérabilité exploitée est du type

Pour l’ensemble des CVE présentées

CWE-416: Use After Free

Détails sur l’exploitation

Pour l’ensemble des CVE présentées

Vecteur d’attaque : Local.

Complexité de l’attaque : Faible.

Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Pour la CVE-2022-2585

Toutes les distributions Linux avec une version supérieure à v5.7-rc1

Red Hat Entreprise Linux version 9

Ubuntu versions 20.04 et 22.04

Debian Bullseye versions antérieures à 5.10.136-1

Pour la CVE-2022-2586

Toutes les distributions Linux avec une version supérieure à v3.16-rc1

Red Hat Entreprise Linux versions 8 et 9

Ubuntu versions 14.04 à 22.04