Vulnérabilités dans le noyau Linux
Date de publication :
CVE-2020-24394 [Score CVSS v3 : 7.1] : Dans le noyau Linux, le fichier de code fs/nfsd/vfs.c (dans le serveur NFS) peut définir des permissions incorrectes sur de nouveaux objets du système de fichiers lorsque le système de fichiers ne prend pas en charge les ACL, alias CID-22cf8419f131. Cela se produit parce que l'umask actuel n'est pas pris en compte.
CVE-2020-25212 [Score CVSS v3 : 7.0] : Un décalage dans le code client NFS du noyau Linux peut permettre à un attaquant local et authentifié de corrompre la mémoire via à un débordement de tampon. Cette faille est due à un mauvais placement du code de vérification de la taille mémoire dans la chaîne d'actions des processus. Le code de vérification se trouve dans fs/nfs/nfs4proc.c au lieu de fs/nfs/nfs4xdr.c.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Injection de code arbitraire
Criticité
- Scores CVSS v3 : 7.0 ; 7.1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- Les versions du noyau Linux antérieures à la version 5.8.3 sont impactées par ces vulnérabilités.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour le noyau linux à la version 5.8.3 ou vers une version supérieure.
Solution de contournement
- Aucune solution de contournement n’est disponible à l’heure actuelle.