Vulnérabilités dans le noyau Linux d’Ubuntu

Date de publication : 20/05/2020

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux d’Ubuntu. Elles peuvent permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.

CVE-2020-11565 [Score CVSS v3 : 7.8] : Le noyau Linux valide incorrectement certaines options de montage pour le système de fichiers de la mémoire virtuelle tmpFS. Un attaquant local ayant des droits pour spécifier les options de montage pourrait causer un déni de service.

CVE-2020-11668 [Score CVSS v3 : 7.1] : Dans le noyau Linux, le driver pour le dispositif Xirlink C-it USB Camera ne valide pas convenablement les métadonnées. Un attaquant local pourrait exploiter cette vulnérabilité afin de provoquer un déni de service.

CVE-2020-12657 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans la fonction block/bfq-iosched.c. Un attaquant local peut exploiter cette vulnérabilité afin de provoquer un déni de service ou une exécution de code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Exécution de code arbitraire

Criticité

Score CVSS v3 : 7.8 au maximum

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible

Composants vulnérables

linux-gke-5.0

linux-oem-osp1

CVE

CVE-2019-19769

CVE-2020-11494

CVE-2020-11565

CVE-2020-11608

CVE-2020-11609

CVE-2020-11668

CVE-2020-11669

CVE-2020-12657

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour les paquets linux-gke-5.0 et linux-oem-osp1

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

USN-4368-1: Linux kernel vulnerabilities