Vulnérabilités dans le noyau Linux de Red Hat

Date de publication :

De multiples vulnérabilités ont été découvertes dans le noyau Linux de Red Hat. Elles peuvent permettre à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur, un déni de service à distance et un contournement de la politique de sécurité.

CVE-2020-14305 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “écriture hors-limites” a été découverte dans la fonctionnalité de suivi de connexion de Voice Over IP H.323 du noyau Linux. Elle peut permettre à un attaquant distant et non-identifié de provoquer un déni de service.

CVE-2019-19447 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans la fonction ext4_unlink du noyau Linux. Elle peut permettre à un attaquant local et identifié de provoquer une élévation de privilèges via le montage d’un système de fichiers ext4 spécialement conçu.

CVE-2019-19523 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le pilote drivers/usb/misc/adutux.c du noyau Linux. Elle peut permettre à un attaquant local de provoquer une corruption de la mémoire.

CVE-2019-19807 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le sous-système ALSA du noyau Linux. Elle peut permettre à un attaquant local de provoquer un impact sur la confidentialité, l’intégrité et la disponibilité des données.

CVE-2020-1749 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans l’implémentation de protocoles réseau IPsec, tels que les tunnels sur IPv6 VXLAN et GENEVE, dans le noyau Linux. Lorsqu’un tunnel chiffré est créé entre deux hôtes, le noyau ne route pas les données dans le tunnel chiffré et les envoie de manière non chiffrée. Cette vulnérabilité peut conduire à une fuite de données.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Non spécifié par l'éditeur
  • Déni de service à distance
  • Contournement de la politique de sécurité
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Criticité

  • Score CVSS v3 : 8.1 max

Existence d’un code d’exploitation

  • Des codes d’exploitation sont disponibles publiquement pour plusieurs de ces vulnérabilités.

Composants vulnérables

  • Red Hat Enterprise Linux Workstation 7 x86_64
  • Red Hat Enterprise Linux for Real Time 7 x86_64
  • Red Hat Enterprise Linux for Real Time for NFV 7 x86_64

CVE

  • CVE-2017-18551
  • CVE-2018-20836
  • CVE-2019-9454
  • CVE-2019-9458
  • CVE-2019-12614
  • CVE-2019-15217
  • CVE-2019-15807
  • CVE-2019-15917
  • CVE-2019-16231
  • CVE-2019-16233
  • CVE-2019-16994
  • CVE-2019-17053
  • CVE-2019-17055
  • CVE-2019-18808
  • CVE-2019-19046
  • CVE-2019-19055
  • CVE-2019-19058
  • CVE-2019-19059
  • CVE-2019-19062
  • CVE-2019-19063
  • CVE-2019-19332
  • CVE-2019-19447
  • CVE-2019-19523
  • CVE-2019-19524
  • CVE-2019-19530
  • CVE-2019-19534
  • CVE-2019-19537
  • CVE-2019-19767
  • CVE-2019-19807
  • CVE-2019-20054
  • CVE-2019-20095
  • CVE-2019-20636
  • CVE-2020-1749
  • CVE-2020-2732
  • CVE-2020-8647
  • CVE-2020-8649
  • CVE-2020-9383
  • CVE-2020-10690
  • CVE-2020-10732
  • CVE-2020-10742
  • CVE-2020-10751
  • CVE-2020-10942
  • CVE-2020-11565
  • CVE-2020-12770
  • CVE-2020-12826
  • CVE-2020-14305

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour le noyau vers une version non vulnérable

Solution de contournement

  • Aucune solution de contournement

Liens