Vulnérabilité dans le noyau Linux
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans le noyau Linux. Une faille dont le niveau de risque est important affecte le système de fichier ext4.
CVE-2019-19447 [Score CVSS v3 : 7.8] : Une faille a été découverte dans la fonction ext4_unlink du système de fichier ext4. L'exploitation de cette vulnérabilité peut permettre à un attaquant ayant accès au réseau local et non-authentifié de provoquer un débordement de tampon en montant puis démontant un fichier ext4 spécialement conçu. Ce problème de sécurité a pour origine une mauvaise gestion des images de fichier système après leur retrait.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Extraction d’informations sensibles
- Déni de service
Criticité
- Score CVSS v3 : 7.8
Existence d’un code d’exploitation
- Il n’existe aucun code d'exploitation connu publiquement à l’heure actuelle
Composants vulnérables
- Linux Kernel 5.0.21
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre de noyau Linux selon la distribution utilisée (version supérieur à 5.0.21)
Solution de contournement
Interdire le chargement de fichiers système non-vérifiés