Deux vulnérabilités de criticité élevée identifiées dans le noyau Linux d’Ubuntu

Deux vulnérabilités de criticité élevée ont été découvertes dans le sous-système KVM (Kernel-based Virtual Machine) du noyau Linux (versions antérieures à 4.13.5) et sur l’architecture PowerPC.

Ces vulnérabilités peuvent permettre à un utilisateur malveillant d’exécuter du code de manière arbitraire sur la machine hôte ou d’induire un déni de service.

Les vulnérabilités sont liées à un défaut de filtrage des signaux au niveau de la fonction sigreturn (appel système utilisé pour l’implémentation des gestionnaires de signaux).

Les deux vulnérabilités sont notées comme hautement prioritaires et Ubuntu recommande l'application des correctifs publiés et disponibles via ses bulletins de sécurité dès que possible.

Informations
+

Impact

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • CVSS v3 : 7.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Ubuntu versions 16.04 LTS, 17.04 et 17.10

CVE

  • CVE-2017-12188
  • CVE-2017-1000255

Recommandations
+

Correctifs

Ubuntu a publié un correctif pour remédier aux vulnérabilités identifiées. Le correctif est disponible via le bulletin de sécurité de chaque CVE :

Solution de contournement

Il n’existe pas actuellement de solution de contournement.