Vulnérabilités dans des paquets Ubuntu

Date de publication :

Plusieurs vulnérabilités ont été corrigées dans des paquets utilisés sur les systèmes Ubuntu. Elles peuvent permettre à un attaquant de provoquer un déni de service, une fuite d’informations et d’autres impacts non spécifiés. 

Vulnérabilités dans Oniguruma (bibliothèque d’expressions régulières) :

CVE-2019-19012 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “débordement d’entier” a été découverte dans la fonction search_in_range d’Oniguruma. Elle peut permettre à un attaquant distant de provoquer un déni de service, une fuite d’informations et possiblement un autre impact non spécifié, via une expression régulière spécialement conçue. 

CVE-2019-16163 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “épuisement de pile” a été découverte dans la fonction regcomp.c d’Oniguruma. Elle peut permettre à un attaquant distant de provoquer un déni de service via une expression régulière spécialement conçue.

CVE-2019-19204 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “lecture hors-limites” a été découverte dans la fonction fetch_interval_quantifier d’Oniguruma. Elle peut permettre à un attaquant distant de provoquer un déni de service.

CVE-2019-19246 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “lecture hors-limites” a été découverte dans la fonction str_lower_case_match d’Oniguruma. Elle peut permettre à un attaquant distant de provoquer un déni de service.

Vulnérabilité dans Ark (utilitaire d’archives) : 

CVE-2020-16116 [Score CVSS v3 : 8.6] : Une vulnérabilité de type “path traversal” a été découverte dans Ark. Elle peut permettre à un attaquant de créer des fichiers sur un système via un fichier ZIP spécialement conçu. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Fuite d’informations
  • Autre impact non spécifié
  • Création de fichiers non autorisée

Criticité

  • Score CVSS v3 : 9.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible

Composants vulnérables

  • Pour Oniguruma : Ubuntu 14.04 ESM
  • Pour Ark : Ubuntu 18.04 LTS et Ubuntu 20.04 LTS

CVE

  • CVE-2019-16163
  • CVE-2019-19012
  • CVE-2019-19204
  • CVE-2019-19246
  • CVE-2020-16116

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les paquets Oniguruma et / ou Ark vers des versions non vulnérables :

    • Oniguruma : libonig2 - 5.9.1-1ubuntu1.1+esm2

    • Ark : ark - 4:19.12.3-0ubuntu1.1 (pour Ubuntu 20.04) ou ark - 4:17.12.3-0ubuntu1.1 (pour Ubuntu 18.04)

Solution de contournement

  • Aucune solution de contournement

Liens