Vulnérabilités dans le noyau Linux

De multiples vulnérabilités ont été découvertes dans les versions du noyau Linux utilisées par Ubuntu. Un attaquant local ayant la permission de monter des volumes BTRFS peut causer des impacts non-spécifiés, potentiellement déni de service, corruption de mémoire voire exécution de code arbitraire.

CVE-2019-19377 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Linux 5.0.21. Un attaquant local peut causer un impact non-spécifié via le montage d’un volume BTRFS spécialement conçu. Le déni de service et la corruption de mémoire pouvant aller jusqu’à l’exécution de code arbitraire sont les impacts usuels de ce type de vulnérabilité.

CVE-2019-19816 [Score CVSS v3 : 7.8] : Une vulnérabilité de type écriture hors-limites a été découverte dans Linux 5.0.21. Un attaquant local peut causer un impact non-spécifié via le montage d’un volume BTRFS spécialement conçu. Le déni de service ainsi que l’exécution de code arbitraire sont les impacts usuels de ce type de vulnérabilité.

Informations
+

Risques

  • Déni de service

  • Corruption de la mémoire du noyau

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 7.8

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Linux version 5.0.21

CVE

  • CVE-2019-19377

  • CVE-2019-19816


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Linux vers une version supérieure à 5.0.21

Solution de contournement

  • Aucune solution de contournement n’est disponible