Deux vulnérabilités ont été corrigées sur le noyau de Redhat. Elles sont liées à la façon dont les microprocesseurs x86 se servent des exécutions spéculatives d'instructions (lancement anticipé d'instructions) en combinaison avec le processus de résolution d'adresse physique à virtuelle.
Un attaquant avec un niveau de privilège faible ("Invité" du système d'exploitation) pourrait exploiter ces vulnérabilités afin d'accéder en lecture à une partie de la mémoire du noyau ou d'autres processus.
Impact
- Atteinte à la confidentialité des données
Criticité
- CVSS v3 : 5.6
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Red Hat Enterprise Linux Server - Extended Life Cycle Support 5 x86_64 ;
- Red Hat Enterprise Linux Server - Extended Life Cycle Support 5 i386 ;
- Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 5 s390x ;
- Red Hat Enterprise Linux Server - AUS 5.9 x86_64 ;
- Red Hat Enterprise Linux Server - AUS 5.9 ia64 ;
- Red Hat Enterprise Linux Server - AUS 5.9 i386.
CVE
- CVE-2018-3620
- CVE-2018-3646
Correctifs
- Une mise à jour du noyau est désormais disponible pour Red Hat Enterprise Linux 5 Extended Lifecycle Support et 5.9 Long Life. Pour plus d'informations, consulter cet article.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.