Multiples vulnérabilités découvertes dans le noyau Linux d’Ubuntu

De multiples vulnérabilités ont été découvertes dans le noyau Linux d'Ubuntu. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un déni de service

CVE-2018-20961 [Score CVSSv3 : 9.8 ] : Dans le noyau Linux avant la version 4.16.4, une double vulnérabilité « use-after-free » (utilisation après désallocation mémoire) a été découverte dans la fonction f_midi_set_alt de la fonction du pilote USB /usb/gadget/function/f_midi.c du pilote f_midi. Un attaquant en local sur la machine pourrait provoquer un déni de service ou éventuellement avoir un autre impact non spécifié.

CVE-2019-15926 [Score CVSSv3 : 9.1] : Une vulnérabilité a été découverte dans le pilote du chipset mobile Atheros dans le noyau Linux. Celui-ci ne validait pas correctement les données dans les fonctions th6kl_wmi_pstream_timeout_event_rx et ath6kl_wmi_cac_event_rx dans le fichier drivers/net/wireless/ath/ath6kl/wmi.c. Un attaquant pourrait l'utiliser pour provoquer un déni de service (crash système).

CVE-2018-20976 [Score CVSSv3 : 7.8] : Une vulnérabilité a été découverte dans le système de fichiers XFS du noyau Linux. Celui-ci ne gérait pas correctement les échecs de montage dans certaines situations. Un attaquant local pourrait l'utiliser pour provoquer un déni de service (crash système) ou exécuter du code arbitraire.

Informations
+

Risques

  • Exécution de code arbitraire
  • Déni de service

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 LTS

CVE

  • CVE-2018-20976
  • CVE-2019-15538
  • CVE-2016-10905
  • CVE-2017-18509
  • CVE-2018-20961
  • CVE-2019-0136
  • CVE-2019-10207
  • CVE-2019-11487
  • CVE-2019-13631
  • CVE-2019-15211
  • CVE-2019-15215
  • CVE-2019-15926

 


Recommandations
+

Mise en place de correctif de sécurité

  • Une mise à jour de noyau est disponible et doit être appliquée.

Solution de contournement

  • Aucune solution de contournement n’a été identifiée en dehors de la mise à jour.