Vulnérabilités dans le noyau Linux de Red Hat

Date de publication :

De multiples vulnérabilités ont été découvertes dans le noyau Linux de Red Hat. Elles peuvent permettre à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un déni de service à distance et un contournement de la politique de sécurité.

CVE-2020-14305 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “écriture hors-limites” a été découverte dans la fonctionnalité de suivi de connexion de Voice Over IP H.323 du noyau Linux. Elle peut permettre à un attaquant distant et non-identifié de provoquer un déni de service.

CVE-2019-19447 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans la fonction ext4_unlink du noyau Linux. Elle peut permettre à un attaquant local et identifié de provoquer une élévation de privilèges via le montage d’un système de fichiers ext4 spécialement conçu.

CVE-2019-19523 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le pilote drivers/usb/misc/adutux.c du noyau Linux. Elle peut permettre à un attaquant local de provoquer une corruption de la mémoire.

CVE-2019-19807 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le sous-système ALSA du noyau Linux. Elle peut permettre à un attaquant local de provoquer un impact sur la confidentialité, l’intégrité et la disponibilité des données.

CVE-2020-1749 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans l’implémentation de protocoles réseau IPsec, tels que les tunnels sur IPv6 VXLAN et GENEVE, dans le noyau Linux. Lorsqu’un tunnel chiffré est créé entre deux hôtes, le noyau ne route pas les données dans le tunnel chiffré et les envoie de manière non chiffrée. Cette vulnérabilité peut conduire à une fuite de données.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Non spécifié par l'éditeur

    Déni de service à distance

    Contournement de la politique de sécurité

    Atteinte à la confidentialité des données

    Élévation de privilèges

Criticité

    Score CVSS v3 : 8.1 max

Existence d’un code d’exploitation

    Des codes d’exploitation sont disponibles publiquement pour plusieurs de ces vulnérabilités.

Composants vulnérables

    Red Hat Enterprise Linux Workstation 7 x86_64

    Red Hat Enterprise Linux for Real Time 7 x86_64

    Red Hat Enterprise Linux for Real Time for NFV 7 x86_64

CVE

    CVE-2017-18551

    CVE-2018-20836

    CVE-2019-9454

    CVE-2019-9458

    CVE-2019-12614

    CVE-2019-15217

    CVE-2019-15807

    CVE-2019-15917

    CVE-2019-16231

    CVE-2019-16233

    CVE-2019-16994

    CVE-2019-17053

    CVE-2019-17055

    CVE-2019-18808

    CVE-2019-19046

    CVE-2019-19055

    CVE-2019-19058

    CVE-2019-19059

    CVE-2019-19062

    CVE-2019-19063

    CVE-2019-19332

    CVE-2019-19447

    CVE-2019-19523

    CVE-2019-19524

    CVE-2019-19530

    CVE-2019-19534

    CVE-2019-19537

    CVE-2019-19767

    CVE-2019-19807

    CVE-2019-20054

    CVE-2019-20095

    CVE-2019-20636

    CVE-2020-1749

    CVE-2020-2732

    CVE-2020-8647

    CVE-2020-8649

    CVE-2020-9383

    CVE-2020-10690

    CVE-2020-10732

    CVE-2020-10742

    CVE-2020-10751

    CVE-2020-10942

    CVE-2020-11565

    CVE-2020-12770

    CVE-2020-12826

    CVE-2020-14305

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour le noyau vers une version non vulnérable

Solution de contournement

  • Aucune solution de contournement

Liens