Multiples vulnérabilités découvertes dans le noyau Linux d’Ubuntu

Date de publication :

De multiples vulnérabilités ont été corrigées dans le noyau Linux d'Ubuntu. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à la confidentialité des données.

CVE-2019-15505 [Score CVSSv3 : 9.8] : Il a été découvert que le pilote de périphérique USB DVB-S/S2 de Technisat dans le noyau Linux contenait une vulnérabilité permettant de lire des zone de mémoire non autorisée (« buffer over-read »). Un attaquant physiquement proche pourrait l'utiliser pour provoquer un déni de service (crash du système) ou éventuellement exposer des informations sensibles.

CVE-2019-14821[Score CVSSv3 : 8.8] : Wen Huang a découvert que le pilote de périphérique Wi-Fi Marvell dans le noyau Linux n'effectuait pas correctement la vérification des limites, ce qui entraînait un débordement de tas. Un attaquant local pourrait l'utiliser pour provoquer un déni de service (plantage du système) ou éventuellement exécuter du code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Déni de service
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Criticité

  • Score CVSS : 9.8 (pour le plus élevé)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Ubuntu 19.04

CVE

  • CVE-2019-14814
  • CVE-2019-14815
  • CVE-2019-14816
  • CVE-2019-14821
  • CVE-2019-15504
  • CVE-2019-15505
  • CVE-2019-15902
  • CVE-2019-16714
  • CVE-2019-2181

Solutions ou recommandations

Mise en place de correctif de sécurité

  • Une mise à jour de noyau est disponible et doit être appliquée.

Solution de contournement

  • Aucune solution de contournement n’a été identifiée en dehors de la mise à jour

Liens