Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans le noyau Linux d’Ubuntu, certaines d’entre elles peuvent permettre à un attaquant de causer un déni de service, une divulgation de données et une exécution de code arbitraire.
CVE-2019-14615 [Score CVSS v3 : 5.5] : Un contrôle insuffisant dans des structures de données spécifiques au sein de plusieurs processeurs Intel équipés d’Intel Processor Graphics peuvent permettre à un attaquant local non authentifié de récupérer et divulguer des informations sensibles.
CVE-2019-19062 [Score CVSS v3 : 7.5] : Une fuite de mémoire dans la fonction crypto_report() peut permettre à un attaquant de causer un déni de service en déclenchant des échecs avec crypto_report_alg().
CVE-2020-7053 [Score CVSS v3 : 7.8] : Il existe dans plusieurs versions du noyau Linux une vulnérabilité de type « use-after-free » dans la fonction i915_ppgtt_close dans drivers/gpu/drm/i915/i915_gem_gtt.c. Une vulnérabilité « use-after-free » est due à l’accès par un programme à une zone mémoire après que celle-ci ait été libérée. Cela peut être exploité pour causer un arrêt inattendu du programme, exécuter du code arbitraire ou effectuer une élévation de privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Divulgation de données
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’existe pour l’instant
Composants vulnérables
- Ubuntu 19.10
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les systèmes impactés en suivant la procédure disponible ici.
Solution de contournement
- Aucune solution de contournement n’est disponible