Ubuntu corrige une vulnérabilité critique qui affecte l'environnement GNOME

Une vulnérabilité critique affectant le module gnome-desktop a été corrigée par l'équipe d'Ubuntu. GNOME est un environnement de bureau pour les systèmes d’exploitation GNU/ Linux (Debian, Ubuntu, Centos, Red Hat Linux …).

Il permet de rendre accessible l’utilisation de tels systèmes à travers une interface graphique et non une simple console.

Détails techniques :

  • CVE-2019-11460 [CVSS v3 9.0] : Cette vulnérabilité pourrait permettre à un attaquant de s’échapper du bac à sable (« bubblewrap sandbox ») de l'environnement. L'outil "bubblewrap", qui créé la sandbox pour encapsuler le logiciel, agit comme un mécanisme de sécurité consistant à exécuter un logiciel de manière « isolée » afin de réduire son impact en cas de mauvaise manipulation.
  • Ici, gnome-desktop n'est pas correctement encapsulé et pourrait permettre ainsi à un attaquant, à l'aide d’autres vulnérabilités, de compromettre l’ordinateur cible en le poussant au téléchargement d'un fichier image contenant du code arbitraire.
Informations
+

Risques

  • Exécution de code arbitraire (à distance)

Criticité

  • Score CVSS : 9.00

Existence d’un code d’exploitation de la vulnérabilité

  • Il n'existe pas de code d'exploitation de la vulnérabilité ou de démonstration de faisabilité à ce jour.

Composants & versions vulnérables

  • Ubuntu 19.04, 18.10 et 18.04 LT
  • gnome-desktop 3.28, 3.30 et antérieur à la 3.30.2.2, 3.32 et antérieur à la 3.32.1.1 et 3.26

CVE

  • CVE-2019-11460

Recommandations
+

Mise en place de correctif de sécurité

  • Les correctifs de sécurité fournis pour les différentes versions corrigent cette vulnérabilité.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.