Vulnérabilités sur des paquets Ubuntu
Date de publication :
Plusieurs vulnérabilités ont été corrigées sur des paquets Ubuntu. Elles concernent les paquets APT, IPRoute et Libexif. Elles peuvent permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.
CVE-2019-20795 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “use-after-free” a été découvert dans la fonction ip/ipnetns.c d’IPRoute2. Une exploitation réussie de cette vulnérabilité peut conduire à un déni de service voire à une exécution de code arbitraire.
CVE-2020-12767 [Score CVSS v3 : 9.8] : Un bogue de type division par zéro a été découvert dans la fonction exif-entry.c de Libexif. Un attaquant pourrait exploiter cette vulnérabilité afin de provoquer un déni de service.
CVE-2018-20030 [Score CVSS v3 : 7.5] : Lors du traitement des tags EXIF_IFD_INTEROPERABILITY et EXIF_IFD_EXIF par Libexif, il existe un bogue susceptible d’être exploité afin d’épuiser les ressources CPU du système ce qui peut conduire à un déni de service
CVE-2020-3810 [Score CVSS v3 : 5.5] : Lors de l’installation de paquets, il existe un défaut lors du traitement de certains noms de fichiers par APT. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à installer un paquet spécialement conçu et pourrait provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3 : 9.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- Ubuntu 20.04 LTS
- Ubuntu 19.10
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 14.04 ESM
- Ubuntu 12.04 ESM
CVE
- CVE-2019-20795
- CVE-2018-20030
- CVE-2020-12767
- CVE-2020-3810
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les paquets concernés vers des versions non vulnérables
Solution de contournement
Aucune solution de contournement n’est disponible