Deux vulnérabilités importantes ont été corrigées dans le noyau Linux. Leur exploitation permettrait de provoquer un déni de service, d'élever ses privilèges ou encore d'entraîner un dépassement d'entier :
- CVE-2018-16276 [CVSS : 7.0] : Une vulnérabilité de type accès hors limites dans la fonction yurex_read implémenté dans le noyau Linux pourrait permettre à un attaquant local d'élever ses privilèges ou de provoquer un déni de service.
- CVE-2018-13053 [CVSS : 7.8]: Une vulnérabilité de type dépassement d'entiers dans la fonction alarm_timer_nsleep() du noyau Linux pourrait permettre à un attaquant local de déclencher un dépassement d'entier sur un système ciblé. Un exploit réussi pourrait être utilisé pour mener à bien d'autres attaques.
Informations
+
Risques
- Déni de service
- Élévation de privilèges
- Dépassement d'entier
Criticité
- CVSS v3 : 7.8 (CVSS de la vulnérabilité la plus critique)
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Noyau Linux versions antérieures à 4.17
CVE
- CVE-2018-16276
- CVE-2018-13053
Recommandations
+
Correctifs
- Un correctif de sécurité a été publié par Kernel.org.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.