Vulnérabilités dans le noyau Linux

Date de publication : 03/07/2020

De multiples vulnérabilités ont été découvertes dans les versions du noyau Linux utilisées par Ubuntu. Un attaquant local ayant la permission de monter des volumes BTRFS peut causer des impacts non-spécifiés, potentiellement déni de service, corruption de mémoire voire exécution de code arbitraire.

CVE-2019-19377 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Linux 5.0.21. Un attaquant local peut causer un impact non-spécifié via le montage d’un volume BTRFS spécialement conçu. Le déni de service et la corruption de mémoire pouvant aller jusqu’à l’exécution de code arbitraire sont les impacts usuels de ce type de vulnérabilité.

CVE-2019-19816 [Score CVSS v3 : 7.8] : Une vulnérabilité de type écriture hors-limites a été découverte dans Linux 5.0.21. Un attaquant local peut causer un impact non-spécifié via le montage d’un volume BTRFS spécialement conçu. Le déni de service ainsi que l’exécution de code arbitraire sont les impacts usuels de ce type de vulnérabilité.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Corruption de la mémoire du noyau

Exécution de code arbitraire

Criticité

Score CVSS v3 : 7.8

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

Linux version 5.0.21

CVE

CVE-2019-19377

CVE-2019-19816

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Linux vers une version supérieure à 5.0.21

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

USN-4414-1: Linux kernel vulnerabilities