Correction de deux vulnérabilités dans le noyau Linux

SUSE et Ubuntu ont corrigé deux vulnérabilités. Les failles concernent le noyau Linux et sont référencées comme suit :

CVE-2018-15471 [CVSS 8.2]: Une faille due à la mauvaise validation d'entrées a été détectée dans la fonction xenvif_set_hash_mapping se situant dans le fichier drivers/net/xen-netback/hash.c. Celle-ci pourrait permettre un accès mémoire hors limites, entraînant potentiellement une ou plusieurs augmentations de privilèges, un déni de service (DoS) ou des fuites d'informations; 

CVE-2018-10853 [CVSS 7.0]: Une faille a été trouvée dans la gestion de l'émulation des instructions de l'hyperviseur KVM du noyau Linux telles que sgdt, sidt, fxsave et fxrstor. Un utilisateur ou processus invité pourrait exploiter cette faille pour devenir administrateur du système hôte.

Par ailleurs, les distributions RedHat ne sont pas affectées par ces vulnérabilités.

Informations
+

Risques

  • Déni de service
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Criticité

  • CVSS v3 : 8.2 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Noyau Linux

CVE

  • CVE-2018-15471
  • CVE-2018-10853

Recommandations
+

Correctifs

  • Les vulnérabilités ont été corrigées par chaque éditeur.
    • SUSE : Pour mettre à jour les produits impactés, il est recommandé de suivre les instructions de l'avis SUSE.
    • Ubuntu : une liste des paquets vulnérables et mis à jour est tenue ici pour la CVE-2018-15471 et ici pour la CVE-2018-10853.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.