Vulnérabilités sur des paquets Ubuntu
Date de publication :
Plusieurs vulnérabilités ont été corrigées sur des paquets Ubuntu. Elles concernent les paquets APT, IPRoute et Libexif. Elles peuvent permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.
CVE-2019-20795 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “use-after-free” a été découvert dans la fonction ip/ipnetns.c d’IPRoute2. Une exploitation réussie de cette vulnérabilité peut conduire à un déni de service voire à une exécution de code arbitraire.
CVE-2020-12767 [Score CVSS v3 : 9.8] : Un bogue de type division par zéro a été découvert dans la fonction exif-entry.c de Libexif. Un attaquant pourrait exploiter cette vulnérabilité afin de provoquer un déni de service.
CVE-2018-20030 [Score CVSS v3 : 7.5] : Lors du traitement des tags EXIF_IFD_INTEROPERABILITY et EXIF_IFD_EXIF par Libexif, il existe un bogue susceptible d’être exploité afin d’épuiser les ressources CPU du système ce qui peut conduire à un déni de service
CVE-2020-3810 [Score CVSS v3 : 5.5] : Lors de l’installation de paquets, il existe un défaut lors du traitement de certains noms de fichiers par APT. Un attaquant peut exploiter cette vulnérabilité en amenant un utilisateur à installer un paquet spécialement conçu et pourrait provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3 : 9.8 au maximum
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible
Composants vulnérables
Ubuntu 20.04 LTS
Ubuntu 19.10
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 14.04 ESM
Ubuntu 12.04 ESM
CVE
CVE-2019-20795
CVE-2018-20030
CVE-2020-12767
CVE-2020-3810
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les paquets concernés vers des versions non vulnérables
Solution de contournement
Aucune solution de contournement n’est disponible