Deux vulnérabilités importantes ont été corrigées dans le noyau Linux

Deux vulnérabilités importantes ont été corrigées dans le noyau Linux. Leur exploitation permettrait de provoquer un déni de service, d'élever ses privilèges ou encore d'entraîner un dépassement d'entier : 

  • CVE-2018-16276 [CVSS : 7.0] Une vulnérabilité de type accès hors limites dans la fonction yurex_read implémenté dans le noyau Linux pourrait permettre à un attaquant local d'élever ses privilèges ou de provoquer un déni de service. 
  • CVE-2018-13053 [CVSS : 7.8]: Une vulnérabilité de type dépassement d'entiers dans la fonction alarm_timer_nsleep() du noyau Linux pourrait permettre à un attaquant local de déclencher un dépassement d'entier sur un système ciblé. Un exploit réussi pourrait être utilisé pour mener à bien d'autres attaques.
Informations
+

Risques

  • Déni de service
  • Élévation de privilèges
  • Dépassement d'entier

Criticité

  • CVSS v3 : 7.8 (CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Noyau Linux versions antérieures à 4.17

CVE

  • CVE-2018-16276
  • CVE-2018-13053

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par Kernel.org.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.