Vulnérabilités dans le noyau Linux d’Ubuntu

Date de publication :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux d’Ubuntu. Elles peuvent permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.

CVE-2020-11565 [Score CVSS v3 : 7.8] : Le noyau Linux valide incorrectement certaines options de montage pour le système de fichiers de la mémoire virtuelle tmpFS. Un attaquant local ayant des droits pour spécifier les options de montage pourrait causer un déni de service. 

CVE-2020-11668 [Score CVSS v3 : 7.1] : Dans le noyau Linux, le driver pour le dispositif Xirlink C-it USB Camera ne valide pas convenablement les métadonnées. Un attaquant local pourrait exploiter cette vulnérabilité afin de provoquer un déni de service. 

CVE-2020-12657 [Score CVSS v3 : 7.8] : Une vulnérabilité de type “use-after-free” a été découverte dans la fonction block/bfq-iosched.c. Un attaquant local peut exploiter cette vulnérabilité afin de provoquer un déni de service ou une exécution de code arbitraire. 

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 7.8 au maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible

Composants vulnérables

  • linux-gke-5.0 
  • linux-oem-osp1

CVE

  • CVE-2019-19769
  • CVE-2020-11494
  • CVE-2020-11565
  • CVE-2020-11608
  • CVE-2020-11609
  • CVE-2020-11668
  • CVE-2020-11669
  • CVE-2020-12657

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les paquets linux-gke-5.0 et linux-oem-osp1

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens