Vulnérabilités dans le noyau Linux
Date de publication :
De multiples vulnérabilités ont été découvertes dans les versions du noyau Linux utilisées par Ubuntu. Un attaquant local ayant la permission de monter des volumes BTRFS peut causer des impacts non-spécifiés, potentiellement déni de service, corruption de mémoire voire exécution de code arbitraire.
CVE-2019-19377 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans Linux 5.0.21. Un attaquant local peut causer un impact non-spécifié via le montage d’un volume BTRFS spécialement conçu. Le déni de service et la corruption de mémoire pouvant aller jusqu’à l’exécution de code arbitraire sont les impacts usuels de ce type de vulnérabilité.
CVE-2019-19816 [Score CVSS v3 : 7.8] : Une vulnérabilité de type écriture hors-limites a été découverte dans Linux 5.0.21. Un attaquant local peut causer un impact non-spécifié via le montage d’un volume BTRFS spécialement conçu. Le déni de service ainsi que l’exécution de code arbitraire sont les impacts usuels de ce type de vulnérabilité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Corruption de la mémoire du noyau
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 7.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Linux version 5.0.21
CVE
- CVE-2019-19377
- CVE-2019-19816
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Linux vers une version supérieure à 5.0.21
Solution de contournement
Aucune solution de contournement n’est disponible