Multiples vulnérabilités dans le noyau Linux de SUSE

Date de publication :

Plus d'une quarantaine de vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Les plus critiques d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

CVE-2019-14895 [ CVSS v3 : 9.8 ] : Une faille dans la gestion de la mémoire dans le pilote de la puce WiFi Marvell présent dans les noyaux Linux pour les versions 3.x et 4.x antérieures à la version 4.18.0 permet à un attaquant de provoquer un déni de service ou l'exécution de code arbitraire. Cette faille peut être exploitée lorsque la station vulnérable négocie une connexion avec un périphérique distant.

CVE-2019-19065 [ CVSS v3 Base score : 7.5 ] : Une fuite de mémoire dans la fonction sdma_init() du fichier drivers/infiniband/hw/hfi1/sdma.c du noyau Linux pour les versions antérieures à la 5.3.9 peut permettre à un attaquant de provoquer un déni de service par surconsommation de la mémoire. Le déni de service se produit en déclenchant des erreurs lors d'appels à la fonction rhashtable_init().

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire à distance.
  • Déni de service à distance.
  • Atteinte à la confidentialité des données.

 

Criticité

  • CVSS :  9.8 max

 

Existence d’un code d'exploitation

  • Aucun code d'exploitation n'est actuellement disponible.

 

Composants vulnérables

  • SUSE OpenStack Cloud Crowbar 8
  • SUSE OpenStack Cloud 8
  • SUSE Linux Enterprise Server pour SAP 12-SP3
  • SUSE Linux Enterprise Server 12-SP3-LTSS
  • SUSE Linux Enterprise Server 12-SP3-BCL
  • SUSE Linux Enterprise High Availability 12-SP3
  • SUSE Enterprise Storage 5
  • SUSE CaaS Platform 3.0
  • HPE Helion Openstack 8
  • SUSE Linux Enterprise Workstation Extension 15
  • SUSE Linux Enterprise Module pour Open Buildservice Development Tools 15
  • SUSE Linux Enterprise Module pour Live Patching 15
  • SUSE Linux Enterprise Module pour Legacy Software 15
  • SUSE Linux Enterprise Module pour Development Tools 15
  • SUSE Linux Enterprise Module pour Basesystem 15
  • SUSE Linux Enterprise High Availability 15

 

CVE

  • CVE-2019-14895
  • CVE-2019-14901
  • CVE-2019-15213
  • CVE-2019-15916
  • CVE-2019-16231
  • CVE-2019-17055
  • CVE-2019-18660
  • CVE-2019-18683
  • CVE-2019-18805
  • CVE-2019-18808
  • CVE-2019-18809
  • CVE-2019-19049
  • CVE-2019-19051
  • CVE-2019-19052
  • CVE-2019-19056
  • CVE-2019-19057
  • CVE-2019-19058
  • CVE-2019-19060
  • CVE-2019-19062
  • CVE-2019-19063
  • CVE-2019-19065
  • CVE-2019-19066
  • CVE-2019-19067
  • CVE-2019-19068
  • CVE-2019-19073
  • CVE-2019-19074
  • CVE-2019-19075
  • CVE-2019-19077
  • CVE-2019-19227
  • CVE-2019-19332
  • CVE-2019-19338
  • CVE-2019-19523
  • CVE-2019-19524
  • CVE-2019-19525
  • CVE-2019-19526
  • CVE-2019-19527
  • CVE-2019-19528
  • CVE-2019-19529
  • CVE-2019-19530
  • CVE-2019-19531
  • CVE-2019-19532
  • CVE-2019-19533
  • CVE-2019-19534
  • CVE-2019-19535
  • CVE-2019-19536
  • CVE-2019-19537
  • CVE-2019-19543
  • CVE-2019-19767

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Une mise à jour de noyau est disponible et doit être appliquée.

Solution de contournement

  • Aucune solution de contournement n'a été identifiée en dehors de la mise à jour.

Liens