Les mises à jour de sécurité du noyau Debian corrigent 26 vulnérabilités
De multiples vulnérabilités ont été découvertes dans le noyau Linux qui peuvent conduire à un déni de service ou à une élévation locale des privilèges. Comme ces vulnérabilités peuvent causer de sérieux dommages, elles ont été corrigées dans les mises à jour de sécurité du noyau Debian publiées le 9 septembre 2023.
Sur les 26 vulnérabilités corrigées, 14 ont un score de gravité "élevé" selon les métriques de la NVD. Dans cet article, nous discuterons de certaines de ces vulnérabilités et de leur impact sur le système.
Vulnérabilités corrigées dans les mises à jour du noyau Debian
Score CVSS 3.x : 7.0 Élevé
Le pilote de l'adaptateur Bluetooth btsdio du noyau Linux présente une vulnérabilité de type "use-after-free". Un attaquant ayant la permission d'insérer et de supprimer des périphériques SDIO peut utiliser cette faille pour provoquer un déni de service ou exécuter du code arbitraire dans le noyau.
Score CVSS 3.x : 7.8 Élevé
Une vulnérabilité de type "use-after-free" a été identifiée dans le sous-système nefilter du noyau Linux lors du nettoyage des règles de table. Un utilisateur disposant de la capacité CAP_NET_ADMIN dans n'importe quel espace de noms utilisateur ou réseau peut utiliser cette faille pour réaliser une élévation locale de privilèges.
Score CVSS 3.x : 7.8 Élevé
L'implémentation de PIPAPO (PIle PAcket POlicies) par Netfilter dans le noyau Linux présente une faille de type "use-after-free" dans la fonction nft_pipao_remove. Elle peut être utilisée par un utilisateur local ayant la capacité CAP_NET_ADMIN dans n'importe quel espace de noms utilisateur ou réseau pour provoquer un déni de service (plantage du système) ou potentiellement élever ses privilèges.
Score CVSS 3.x : 7.8 Élevé
Une faille de type "use-after-free" a été identifiée dans le Netfilter du noyau Linux lors de la désactivation de la chaîne liée dans certains cas. Un utilisateur local peut l'utiliser pour élever ses privilèges sur le système.
Score CVSS 3.x : 7.0 Élevé
Le composant Unix domain sockets du noyau Linux présente une vulnérabilité de type "use-after-free" qui pourrait entraîner une élévation locale des privilèges.
Score CVSS 3.x : 7.8 Élevé
Le pilote netback de Xen dans le noyau Linux présente un problème de dépassement de mémoire tampon, qui pourrait permettre à un invité Xen d'envoyer des paquets malformés pour provoquer un déni de service à l'hôte de virtualisation.
Score CVSS 3.x : 7.8 Élevé
La gestion des sockets Bluetooth du noyau Linux contient une faille de type "use-after-free" car les enfants d'un sk ne sont pas gérés correctement.
CVE-2023-3776, CVE-2023-4128, CVE-2023-4206, CVE-2023-4207, CVE-2023-4208
De multiples vulnérabilités de type "use-after-free" ont été découvertes dans les classificateurs réseau cls_fw, cls_u32 et cls_route du noyau Linux. Ces vulnérabilités pourraient être exploitées pour réaliser une élévation locale des privilèges ou provoquer un déni de service.
Toutes ces vulnérabilités ont été corrigées dans la version Linux 6.1.52-1 de la version stable Bookworm.
Réflexions finales
Le maintien de la stabilité et de la sécurité globales d'un système Debian dépend du maintien de la sécurité du noyau. Le noyau Linux est le composant fondamental, et ses vulnérabilités peuvent avoir de graves conséquences. Par conséquent, vous devez mettre en œuvre une stratégie efficace de gestion des correctifs pour atténuer les vulnérabilités et assurer la sécurité du noyau Linux.
Le live patching est la technologie moderne qui permet de patcher le noyau sans redémarrage ni temps d'arrêt. KernelCare Enterprise de TuxCare fournit une solution automatisée de live patching pour toutes les distributions Linux majeures, y compris Debian, RHEL, Ubuntu, AlmaLinux, CentOS, et plus encore. Cela signifie qu'il applique automatiquement tous les correctifs de sécurité sans avoir à redémarrer le serveur.
Contactez l'un de nos experts pour en savoir plus sur KernelCare et son processus de fonctionnement.
La source de cet article se trouve sur l'avis de sécurité de Debian.