Plusieurs vulnérabilités ont été corrigées sur le noyau Linux d'Ubuntu

Ubuntu a corrigé neuf vulnérabilités présentes dans le noyau Linux. Plusieurs vulnérabilités peuvent induire un déni de service, permettre une exécution de code ou permettre à un utilisateur d'élever ses privilèges.

Neuf CVEs ont été réservés pour ces vulnérabilités :

Trois vulnérabilités peuvent permettre à un attaquant local d’induire un déni de service :

  • CVE-2017-12193: pour une vulnérabilité sur l'implémentation du tableau associatif dans le noyau Linux due à une mauvaise gestion de l'ajout de nouvelles entrées.
  • CVE-2017-15306: pour une erreur de déréférencement du pointeur NULL dans l'implémentation PowerPC KVM dans le noyau Linux.
  • CVE-2017-16535: pour une vulnérabilité de validation incorrecte des métadonnées USB BOS dans le sous-système USB du noyau Linux.

Quatre vulnérabilités peuvent permettre à un attaquant local d’induire un déni de service (panne du système) ou d'exécuter du code sur le système :

  • CVE-2017-16939: pour une vulnérabilité de type « use-after-free » dans le sous-système Netlink (XFRM) du noyau Linux.
  • CVE-2017-15299: pour une vulnérabilité sur le sous-système de gestion des clés dans le noyau Linux ne limitant pas correctement l'ajout d'une clé qui existe déjà mais qui n'est pas instanciée.
  • CVE-2017-15951: pour une erreur de gestion des accès concurrents dans le sous-système de gestion des clés du noyau Linux sur les clés dans un état négatif.
  • CVE-2017-16643: pour une faille de lecture hors limites dans le pilote USB du numériseur GTCO pour le noyau Linux.

Deux vulnérabilités peuvent permettre à un attaquant local d’induire un déni de service ou d'élever ses privilège :

  • CVE-2017-1000405: pour une erreur de gestion des accès concurrents dans le sous-système de gestion des clés du noyau Linux sur les clés dans un état négatif.
  • CVE-2017-12146: pour une erreur de gestion des accès concurrents dans le sous-système des pilotes «driversubsystem» du noyau Linux.
Informations
+

Impact

  • Exécution de code arbitraire
  • Déni de service
  • Élévation de privilèges

Criticité

  • CVSS v3 : Non défini

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Les systèmes affectés sont :

  • Ubuntu 12.04 LTS
  • Ubuntu 14.04 LTS
  • Ubuntu 16.04 LTS
  • Ubuntu 17.04
  • Ubuntu 17.10

CVE

  • CVE-2017-11937
  • CVE-2017-11940

Recommandations
+

Correctifs

Des mises à jour ont été publiées pour corriger ces vulnérabilités. Afin de les appliquer sur les systèmes concernés, il est recommandé de suivre les instructions disponibles sur le lien suivant : https://wiki.ubuntu.com/Security/Upgrades 

Après la mise à jour du système, le redémarrage du système est nécessaire afin de valider toutes les modifications.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.