Multiples vulnérabilités dans systemd

Plusieurs vulnérabilités ont été découvertes dans systemd, un gestionnaire de système et de services pour Linux. Elles peuvent permettre à un attaquant local de provoquer un déni de service ou d’exécuter du code arbitraire.

CVE-2019-3843, CVE-2019-3844 [Score CVSS v3 : 7.8] : Une vulnérabilité a été découverte dans systemd, elle est due à une manipulation incorrecte des services utilisant la fonctionnalité DynamicUser. Un attaquant local pourrait exploiter cette vulnérabilité afin d’accéder à des ressources utilisées par d’autres services.

CVE-2020-1712 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type « use-after-free » a été découverte dans systemd. Elle est due à une manipulation incorrecte de requêtes Polkit, un logiciel permettant aux applications s'exécutant avec des droits restreints d'interagir avec des services privilégiés du système.

Une vulnérabilité « use-after-free » est due à l’accès par un programme à une zone mémoire après que celle-ci ait été libérée. Cela peut être exploité pour causer un arrêt inattendu du programme, exécuter du code arbitraire ou effectuer une élévation de privilèges.

CVE-2018-16888 [Score CVSS v3 : 4.7] : Une vulnérabilité a été découverte dans systemd, elle est due à une vérification incorrecte du contenu de fichiers PIDFile (Process ID File) lors de l’arrêt d’un processus. Un attaquant local pourrait utiliser cette vulnérabilité en modifiant un fichier PIDFile et ainsi causer l’arrêt de processus ou de services.