Urgent : mise à jour Ubuntu ! Vulnérabilité du noyau découverte pouvant conduire à un déni de service ou à l'exécution de code arbitraire

Ubuntu est un système d'exploitation Linux axé sur les applications de bureau. Il s'agit d'un logiciel gratuit open source qui fournit un environnement informatique robuste et riche en fonctionnalités, adapté à la fois à un usage domestique et aux environnements professionnels. Ubuntu fournit un support commercial à des centaines d'entreprises à travers le monde.

Le 2 décembre, Ubuntu a publié une mise à jour de sécurité, qui corrige des vulnérabilités importantes telles que le déni de service du noyau système et l'exécution de code arbitraire. Voici les détails de la vulnérabilité :

Détails de la vulnérabilité

Source : https://ubuntu.com/security/notices/USN-4658-1

1.CVE-2020-0423 Note CVSS : 7,8 Élevé

Il existe une condition de concurrence critique dans l'implémentation du classeur IPC dans le noyau Linux, conduisant à une vulnérabilité d'utilisation après libération. Un attaquant local pourrait exploiter cette vulnérabilité pour provoquer un déni de service (plantage du système) ou éventuellement exécuter du code arbitraire.

2.CVE-2020-25645 Note CVSS : 7,5 Élevé

L'implémentation du tunnel GENEVE dans le noyau Linux, combinée à IPSec, ne sélectionnait pas correctement les routes IP dans certains cas. Un attaquant pourrait exploiter cette vulnérabilité pour exposer des informations sensibles (trafic réseau non chiffré).

3.CVE-2020-25643 Score CVSS : 7,2 Élevé

L'implémentation hdlcppp dans le noyau Linux ne valide pas correctement les entrées dans certains cas. Un attaquant local pourrait exploiter cette vulnérabilité pour provoquer un déni de service (plantage du système) ou éventuellement exécuter du code arbitraire.

4.CVE-2020-25211 Note CVSS : 6,0 Moyen

Le tracker de connexion netfilter pour netlink dans le noyau Linux n'effectue pas correctement la vérification des limites dans certains cas. Un attaquant local pourrait exploiter cette vulnérabilité afin de provoquer un déni de service (plantage système)

5.CVE-2020-14390 Note CVSS : 5,6 Moyen

Il a été constaté que l'implémentation du framebuffer dans le noyau Linux ne gère pas correctement certains cas extrêmes lors de la restauration logicielle. Un attaquant local pourrait exploiter cette vulnérabilité pour provoquer un déni de service (plantage du système) ou éventuellement exécuter du code arbitraire

6.CVE-2020-28915 Score CVSS : 5,5 Moyen

Dans certains cas, il a été découvert dans l'implémentation du noyau Linux qu'il n'effectuait pas correctement les vérifications du framebuffer. Un attaquant local pourrait exploiter cette vulnérabilité pour exposer des informations sensibles (mémoire du noyau).

7.CVE-2020-10135 Note CVSS : 5,4 Moyen

L'authentification par couplage hérité et connexion sécurisée dans le protocole Bluetooth permet aux utilisateurs non authentifiés de terminer l'authentification avec un accès adjacent sans coupler les informations d'identification. Un attaquant physiquement proche pourrait exploiter cela pour usurper l'identité d'un appareil Bluetooth précédemment couplé.

8.CVE-2020-25284 Note CVSS : 4,1 faible

Le pilote de périphérique de bloc Rados (rbd) dans le noyau Linux n'effectue pas correctement les vérifications des autorisations d'accès sur les périphériques rbd dans certains cas. Un attaquant local peut utiliser cette fonctionnalité pour mapper ou démapper le périphérique de bloc rbd.

9.CVE-2020-4788 Note CVSS : 2,9 faible

Dans certains cas, les processeurs power9 peuvent être obligés d'exposer les informations du cache L1. Un attaquant local pourrait exploiter cette vulnérabilité pour exposer des informations sensibles

Produits et versions concernés

Cette vulnérabilité affecte Ubuntu 20.04 LTS et Ubuntu 18.04 LTS

Solution

Ce problème peut être résolu en mettant à jour le système vers la version de package suivante :

Ubuntu 20.04 :

linux-image-5.4.0-1028-kvm - 5.4.0-1028.29

linux-image-5.4.0-1030-aws - 5.4.0-1030.31

linux-image-5.4.0-1030-gcp-5.4.0-1030.32

linux-image-5.4.0-1030-oracle - 5.4.0-1030.32

linux-image-5.4.0-1032-azure - 5.4.0-1032.33

linux-image-5.4.0-56-générique - 5.4.0-56.62

linux-image-5.4.0-56-generic-lpae-5.4.0-56.62

linux-image-5.4.0-56-lowlatency - 5.4.0-56.62

linux-image-aws-5.4.0.1030.31

linux-image-azure-5.4.0.1032.30

linux-image-gcp-5.4.0.1030.38

linux-image-générique-5.4.0.56.59

linux-image-generic-hwe-20.04-5.4.0.56.59

linux-image-generic-lpae-5.4.0.56.59

linux-image-generic-lpae-hwe-20.04-5.4.0.56.59

linux-image-gke-5.4.0.1030.38

linux-image-kvm-5.4.0.1028.26

linux-image-lowlatency-5.4.0.56.59

linux-image-lowlatency-hwe-20.04-5.4.0.56.59

linux-image-oem-5.4.0.56.59

linux-image-oem-osp1-5.4.0.56.59

linux-image-oracle-5.4.0.1030.27

linux-image-virtuelle-5.4.0.56.59

linux-image-virtual-hwe-20.04-5.4.0.56.59

Ubuntu 18.04 :

linux-image-5.4.0-1030-aws - 5.4.0-1030.31~18.04.1

linux-image-5.4.0-1030-gcp - 5.4.0-1030.32~18.04.1

linux-image-5.4.0-1030-oracle - 5.4.0-1030.32~18.04.1

linux-image-5.4.0-1032-azure - 5.4.0-1032.33~18.04.1

linux-image-5.4.0-56-générique - 5.4.0-56.62~18.04.1

linux-image-5.4.0-56-generic-lpae - 5.4.0-56.62~18.04.1

linux-image-5.4.0-56-lowlatency - 5.4.0-56.62~18.04.1

linux-image-aws-5.4.0.1030.15

linux-image-azure-5.4.0.1032.14

linux-image-gcp-5.4.0.1030.18

linux-image-generic-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-generic-lpae-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-lowlatency-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-oem-osp1-5.4.0.56.62~18.04.50

linux-image-oracle-5.4.0.1030.14

linux-image-snapdragon-hwe-18.04-5.4.0.56.62~18.04.50

linux-image-virtual-hwe-18.04-5.4.0.56.62~18.04.50

Pour plus d'informations sur les vulnérabilités et les mises à niveau, veuillez visiter le site officiel :

https://www.php.cn/link/9c0badf6e91e4834393525f7dca1291d

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!