Des vulnérabilités du noyau Linux corrigées sur SUSE

L'équipe de développement de la distribution Linux SUSE a publié deux correctifs de sécurité pour sa version Entreprise. Deux bulletins publiés sur le site de l'éditeur référencent les 14 vulnérabilités qui ont été corrigées, dont deux sont de criticité importante. Les autres sont de criticité modérée ou faible. L'évaluation de la criticité de ces failles sur le noyau Linux a été réalisée par SUSE dans le contexte de la distribution et diffusée sous la forme de score CVSS. SUSE distingue 4 types de criticité lors de l'étude des vulnérabilités : critiques, importantes, modérées et faibles.

Les vulnérabilités importantes ont été référencées de la manière suivante :

• CVE-2017-5753 [CVSS V3 5.6] : Une vulnérabilité sur les processeurs modernes, plus connue sous le nom de Spectre. Spectre permet de passer outre l’isolation entre les différents processus afin d’extraire les données qu’ils ont en mémoire. Plusieurs PoC sont publiquement accessibles sur Internet, tous dérivés du code PoC décrit dans les documents académiques SUSE. Dans un article de blog paru en janvier 2018, l'équipe de développement a annoncé que l'impact de ces mises à jour pourrait diminuer jusqu'à 15% les performances du système. Le correctif est spécifique à SUSE Entreprise Server.
• CVE-2018-9568 [CVSS V3 7.8] : Une vulnérabilité sur un composant du noyau Linux, pouvant entraîner une corruption de mémoire due à une confusion de type. Cela pourrait également conduire à une élévation de privilèges. Aucune interaction avec un utilisateur n'est nécessaire.

Des mises à jour corrigeant ces vulnérabilités avaient déjà été publiées sur d'autres versions de SUSE ainsi que sur d'autres distributions. Du fait de leur criticité, les utilisateurs sont invités à mettre à jour les produits le plus rapidement possible.