Une vulnérabilité de déni de service a été identifiée sur les versions antérieures à 4.13 du noyau Linux

Une vulnérabilité de criticité moyenne a été identifiée sur les versions antérieures à 4.13 du noyau Linux. Elle affecte les pilotes /net /ethernet /his /hns /hns_enet.c. Un utilisateur local ayant accès aux périphériques vulnérables pourrait exploiter cette vulnérabilité pour provoquer un déni de service.

La vulnérabilité est due à la manipulation par les fonctions hns_nic_net_xmit_hw et hns_nic_net_xmit d’entrée inconnue rendant possible des attaques de type use after free. Des attaquants pourraient exploiter cette vulnérabilité dans le but de porter atteinte à la disponibilité du système affecté.

Informations
+

Impact

  • Déni de service

Criticité

  • CVSS v3 : 5.5

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Toutes les versions du noyau linux antérieures à 4.13

CVE

  • CVE-2017-18218

Recommandations
+

Correctifs

  • La version 4.13 du noyau linux n’est pas vulnérable. Il est recommandé de mettre à jour le noyau vers cette version.

Solution de contournement

  • Une solution de contournement permettant de corriger la vulnérabilité de type use after free a été publiée sur Github.