Canonical déploie une dizaine de mises à jour de sécurité du noyau Linux
Pour Ubuntu 14.04 LTS et distributions dérivées

L’équipe de développement de la distribution Ubuntu de Linux vient de déployer 11 mises à jour de sécurité du noyau Linux pour sa distribution Ubuntu 14.04 LTS et ses dérivées.

La première vulnérabilité référencée CVE-2017-1000364 concerne la taille de la page de garde pour la pile. Limitée à 4 Ko, elle n’est pas suffisamment large pour éviter des croisements avec le heap, ce qui peut permettre à un attaquant d’obtenir des privilèges d’administrateur sur un système.

La seconde vulnérabilité référencée CVE-2014-9940 concerne le pilote du régulateur de tension logiciel – drivers/regulator/core.c – intégré aux versions antérieures du kernel Linux dans sa version 3.19 rc1. Cette vulnérabilité permettait également à un attaquant d’obtenir des privilèges et au-delà de provoquer un déni de service (crash du système) via une application conçue à cet effet. Cette vulnérabilité a été corrigée en upstream depuis la version 3.19 rc1 du noyau.

La troisième vulnérabilité référencée CVE-2017-0605 concerne le sous-système de gestion des événements. Cette vulnérabilité peut être utilisée par une application locale pour exécuter du code dans le contexte du noyau. L’équipe de développement upstream l’a classée comme critique du fait de la possibilité qu’elle offre de rendre une attaque permanente sur un dispositif. Cette faille est en principe corrigée depuis la version 4.12 rc1 du noyau.

La quatrième vulnérabilité dont l’équipe Canonical a fait mention est celle référencée CVE-2017-1000363. Le problème ici est que les développeurs du pilote de port parallèle n’auraient pas correctement implémenté le passage de paramètre à la fonction lp_setup() au sein du pilote. Cet état de choses peut être exploité par un attaquant pour exécuter du code arbitraire. Cette vulnérabilité a été corrigée depuis la version 4.12 rc2 du noyau.

L’équipe Canonical a également rapporté une vulnérabilité liée au pilote du gestionnaire de rendu (DRM) des machines virtuelles VMWare. La faille référencée CVE-2017-7294 permettrait de causer un déni de service ou l’exécution de code arbitraire. Cette vulnérabilité a été corrigée depuis la version 4.11 rc6.

Cinq vulnérabilités concernent particulièrement la pile IPv6. Les failles référencées CVE-2017-9074 et CVE-2017-9075 permettent à un attaquant de causer une attaque par déni de service ou d’autres problèmes non spécifiés dans le bulletin de sécurité. Elles ont été corrigées depuis la version 4.12 rc2 du noyau.

Celles référencées CVE-2017-9076 et CVE-2017-9077 pour leur part affectent respectivement les implémentations DCCP v6 et TCP v6 du noyau. Elles ont également été marquées comme potentiels vecteurs d’attaques par déni de service. Elles ont été corrigées depuis la version 4.12 rc2 du noyau.

La dernière faille IPv6 référencée CVE-2017-9242 pourrait permettre à un attaquant de causer un crash du système via des appels système. Elle a été corrigée depuis la version 4.12 rc2 du noyau. La faille référencée CVE-2017-8890 touche quant à elle à la pile IPv4. Elle permet également à un attaquant de causer un déni de service qui entraîne un crash du système.

Les utilisateurs d’Ubuntu 14.04 LTS et dérivés sont donc invités à mettre leur système à jour en suivant les instructions indiquées ici .

Source : Ubuntu

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Linux 4.0 permettra d'appliquer des mises à jour sans redémarrer le système