Vulnérabilités au sein du noyau Linux
Date de publication :
CVE-2021-32399 [Score CVSS v3 : 7.0]
Une vulnérabilité au sein du code de net/bluetooth/hci_request.c dans le noyau Linux a été corrigée. Cette faille est due à une erreur de synchronisation temporelle concernant l’accès à certaines ressources partagées de l’HCI. L’exploitation de cette condition de course peut permettre à un attaquant local et authentifié de supprimer le contrôleur HCI du dispositif Linux vulnérable.
CVE-2021-33034 [Score CVSS v3 : 7.8]
Une vulnérabilité pouvant permettre un use-after-free a été corrigée dans le fichier net/bluetooth/hci_event.c. Son exploitation peut permettre à un attaquant local et authentifié d’injecter du code arbitraire sur les dispositifs vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
-
Injection de code arbitraire
Déni de service
Criticité
-
Scores CVSS v3 : 7.8 max
Existence d’un code d’exploitation
-
Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
-
Les versions du noyau Linux antérieures à jusqu'à 5.12.3 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour le noyau Linux vers la version 5.12.3 ou ultérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.