Ubuntu a corrigé neuf vulnérabilités présentes dans le noyau Linux. Plusieurs vulnérabilités peuvent induire un déni de service, permettre une exécution de code ou permettre à un utilisateur d'élever ses privilèges.
Neuf CVEs ont été réservés pour ces vulnérabilités :
Trois vulnérabilités peuvent permettre à un attaquant local d’induire un déni de service :
- CVE-2017-12193: pour une vulnérabilité sur l'implémentation du tableau associatif dans le noyau Linux due à une mauvaise gestion de l'ajout de nouvelles entrées.
- CVE-2017-15306: pour une erreur de déréférencement du pointeur NULL dans l'implémentation PowerPC KVM dans le noyau Linux.
- CVE-2017-16535: pour une vulnérabilité de validation incorrecte des métadonnées USB BOS dans le sous-système USB du noyau Linux.
Quatre vulnérabilités peuvent permettre à un attaquant local d’induire un déni de service (panne du système) ou d'exécuter du code sur le système :
- CVE-2017-16939: pour une vulnérabilité de type « use-after-free » dans le sous-système Netlink (XFRM) du noyau Linux.
- CVE-2017-15299: pour une vulnérabilité sur le sous-système de gestion des clés dans le noyau Linux ne limitant pas correctement l'ajout d'une clé qui existe déjà mais qui n'est pas instanciée.
- CVE-2017-15951: pour une erreur de gestion des accès concurrents dans le sous-système de gestion des clés du noyau Linux sur les clés dans un état négatif.
- CVE-2017-16643: pour une faille de lecture hors limites dans le pilote USB du numériseur GTCO pour le noyau Linux.
Deux vulnérabilités peuvent permettre à un attaquant local d’induire un déni de service ou d'élever ses privilège :
- CVE-2017-1000405: pour une erreur de gestion des accès concurrents dans le sous-système de gestion des clés du noyau Linux sur les clés dans un état négatif.
- CVE-2017-12146: pour une erreur de gestion des accès concurrents dans le sous-système des pilotes «driversubsystem» du noyau Linux.
Impact
- Exécution de code arbitraire
- Déni de service
- Élévation de privilèges
Criticité
- CVSS v3 : Non défini
Existence d’un code d’exploitation de la vulnérabilité
Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
Les systèmes affectés sont :
- Ubuntu 12.04 LTS
- Ubuntu 14.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 17.04
- Ubuntu 17.10
CVE
- CVE-2017-11937
- CVE-2017-11940
Correctifs
Des mises à jour ont été publiées pour corriger ces vulnérabilités. Afin de les appliquer sur les systèmes concernés, il est recommandé de suivre les instructions disponibles sur le lien suivant : https://wiki.ubuntu.com/Security/Upgrades
Après la mise à jour du système, le redémarrage du système est nécessaire afin de valider toutes les modifications.
Solution de contournement
Il n’existe pas actuellement de solution de contournement.