Plusieurs vulnérabilités corrigées dans le noyau linux de SUSE

Les équipes de développement de Suse ont publié plusieurs bulletins de sécurité corrigeant 4 vulnérabilités présentes dans le noyau du système d’opération.

Un attaquant pourrait exploiter ces vulnérabilités de criticité majeure pour atteindre à la confidentialité et intégrité de certaines données des processus du serveur, d’élever ses privilèges sur le serveur visé ou de réaliser du déni de service sur celui-ci.

Détails techniques :

• CVE-2019-12817  [CVSS v3 7.0] : Il s’agit d’une vulnérabilité concernant les microprocesseurs PowerPC, qui permettrait sous certaines conditions à un processus de lire et d’écrire dans la mémoire virtuelle d’un processus sans lien direct, à l’aide d’une attribution de mémoire dépassant les 512 Téraoctets.
• CVE-2019-3846  [CVSS v3 8.8] : Il s’agit d’une vulnérabilité qui permettrait à un attaquant de corrompre de la mémoire et d’élever ses privilèges à l’aide du module mwifiex, utilisé lors de la connexion à un réseau sans-fil.
• CVE-2018-5390 [CVSS v3 7.5] : Il s’agit d’une vulnérabilité de déni de service, qui forcerait le noyau à faire des appels coûteux en ressources vers les fonctions tcp_collapse_ofo_queue() et tcp_prune_ofo_queue() en recevant des paquets réseaux.