Vulnérabilité dans le noyau Linux

Plusieurs vulnérabilités ont été corrigées dans le noyau Linux. Une faille dont le niveau de risque est important affecte le système de fichier ext4.

CVE-2019-19447 [Score CVSS v3 : 7.8] : Une faille a été découverte dans la fonction ext4_unlink du système de fichier ext4. L'exploitation de cette vulnérabilité peut permettre à un attaquant ayant accès au réseau local et non-authentifié de provoquer un débordement de tampon en montant puis démontant un fichier ext4 spécialement conçu. Ce problème de sécurité a pour origine une mauvaise gestion des images de fichier système après leur retrait.

Informations
+

Risques

  • Élévation de privilèges

  • Extraction d’informations sensibles

  • Déni de service

Criticité

  • Score CVSS v3 : 7.8

Existence d’un code d’exploitation

  • Il n’existe aucun code d'exploitation connu publiquement à l’heure actuelle

Composants vulnérables

  • Linux Kernel 5.0.21

CVE


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre de noyau Linux selon la distribution utilisée (version supérieur à 5.0.21)

Solution de contournement

  • Interdire le chargement de fichiers système non-vérifiés