Des vulnérabilités du noyau Linux corrigées sur SUSE

L'équipe de développement de la distribution Linux SUSE a publié deux correctifs de sécurité pour sa version Entreprise. Deux bulletins publiés sur le site de l'éditeur référencent les 14 vulnérabilités qui ont été corrigées, dont deux sont de criticité importante. Les autres sont de criticité modérée ou faible. L'évaluation de la criticité de ces failles sur le noyau Linux a été réalisée par SUSE dans le contexte de la distribution et diffusée sous la forme de score CVSS. SUSE distingue 4 types de criticité lors de l'étude des vulnérabilités : critiques, importantes, modérées et faibles.

Les vulnérabilités importantes ont été référencées de la manière suivante :

  • CVE-2017-5753 [CVSS 7.1] : Une vulnérabilité sur les processeurs modernes, plus connue sous le nom de Spectre. Spectre permet de passer outre l’isolation entre les différents processus afin d’extraire les données qu’ils ont en mémoire. Plusieurs PoC sont publiquement accessibles sur Internet, tous dérivés du code PoC décrit dans les documents académiques SUSE. Dans un article de blog paru en janvier 2018, l'équipe de développement a annoncé que l'impact de ces mises à jour pourrait diminuer jusqu'à 15% les performances du système. Le correctif est spécifique à SUSE Entreprise Server.
  • CVE-2018-9568 [CVSS 7.4] : Une vulnérabilité sur un composant du noyau Linux, pouvant entraîner une corruption de mémoire due à une confusion de type. Cela pourrait également conduire à une élévation de privilèges. Aucune interaction avec un utilisateur n'est nécessaire.

Des mises à jour corrigeant ces vulnérabilités avaient déjà été publiées sur d'autres versions de SUSE ainsi que sur d'autres distributions. Du fait de leur criticité, les utilisateurs sont invités à mettre à jour les produits le plus rapidement possible.

Informations
+

Risques

  • Déni de service

Criticité

  • Score CVSS : 7.40

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est disponible pour les deux vulnérabilités importantes.

Composants & versions vulnérables

  • SUSE Linux Enterprise Server 12-SP4
  • SUSE Linux Enterprise High Availability 15
  • SUSE Linux Enterprise Workstation Extension 15
  • SUSE Linux Enterprise Module

CVE

  • CVE-2017-5753
  • CVE-2018-9568

Recommandations
+

Mise en place de correctif de sécurité

  • Des correctifs de sécurité ont été publiés dans les dépôts de SUSE. Ils peuvent être installés via la commande zypper de la manière suivante : zypper in -t patch, suivi du numéro de version.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.