Ubuntu corrige une vulnérabilité critique qui affecte l'environnement GNOME
Date de publication :
Une vulnérabilité critique affectant le module gnome-desktop a été corrigée par l'équipe d'Ubuntu. GNOME est un environnement de bureau pour les systèmes d’exploitation GNU/ Linux (Debian, Ubuntu, Centos, Red Hat Linux …).
Il permet de rendre accessible l’utilisation de tels systèmes à travers une interface graphique et non une simple console.
Détails techniques :
- CVE-2019-11460 [CVSS v3 9.0] : Cette vulnérabilité pourrait permettre à un attaquant de s’échapper du bac à sable (« bubblewrap sandbox ») de l'environnement. L'outil "bubblewrap", qui créé la sandbox pour encapsuler le logiciel, agit comme un mécanisme de sécurité consistant à exécuter un logiciel de manière « isolée » afin de réduire son impact en cas de mauvaise manipulation.
- Ici, gnome-desktop n'est pas correctement encapsulé et pourrait permettre ainsi à un attaquant, à l'aide d’autres vulnérabilités, de compromettre l’ordinateur cible en le poussant au téléchargement d'un fichier image contenant du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Exécution de code arbitraire (à distance)
Criticité
- Score CVSS : 9.00
Existence d’un code d’exploitation de la vulnérabilité
- Il n'existe pas de code d'exploitation de la vulnérabilité ou de démonstration de faisabilité à ce jour.
Composants & versions vulnérables
- Ubuntu 19.04, 18.10 et 18.04 LT
- gnome-desktop 3.28, 3.30 et antérieur à la 3.30.2.2, 3.32 et antérieur à la 3.32.1.1 et 3.26
CVE
- CVE-2019-11460
Solutions ou recommandations
Mise en place de correctif de sécurité
- Les correctifs de sécurité fournis pour les différentes versions corrigent cette vulnérabilité.
Solution de contournement
- Aucune solution de contournement n'a été proposée.