Vulnérabilités dans le noyau Linux
Date de publication :
De multiples vulnérabilités ont été découvertes dans le noyau Linux. Un attaquant distant peut obtenir des informations normalement chiffrées, ainsi que provoquer des impacts non-spécifiés pouvant potentiellement inclure le déni de service et l’exécution de code arbitraire.
CVE-2020-12654 [Score CVSS v3 : 7.1] : Une vulnérabilité de type dépassement de tas a été découverte dans le pilote mwifiex de Marvell intégré au noyau Linux. Un attaquant à portée du signal WiFi de la machine vulnérable peut provoquer un impact non-spécifié en présentant un point d’accès spécialement configuré. Les impacts typiques de cette catégorie de vulnérabilités incluent le déni de service et l’exécution de code arbitraire.
CVE-2020-1749 [Score CVSS v3 : 7.5 selon Red Hat] : Une vulnérabilité cryptographique a été découverte dans l’implémentation IPsec utilisée par le noyau Linux. Cette dernière ne chiffrant pas correctement les données dans certaines situations, un attaquant distant exploitant cette vulnérabilité peut obtenir des données sensibles normalement chiffrées.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.5 maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- CVE-2020-12654 : Linux avant la version 5.5.4
- CVE-2020-1749 : détail des versions vulnérables non-disponible
CVE
- CVE-2020-12654
- CVE-2020-1749
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Linux vers une version non-vulnérable ou appliquer les correctifs proposés par la distribution utilisée
Solution de contournement
Aucune solution de contournement n’est disponible