Vulnérabilités de haute sévérité corrigées dans Ubuntu 18.04
L'équipe de sécurité d'Ubuntu a publié de nouvelles mises à jour pour Ubuntu 16.04 et Ubuntu 18.04, qui corrigent plusieurs vulnérabilités de haute sévérité découvertes dans le noyau Linux. Les deux systèmes d'exploitation ayant atteint leur fin de vie, les correctifs ne sont disponibles que pour les utilisateurs ayant souscrit à Ubuntu Pro.
Bien que le prix d'Ubuntu Pro soit relativement élevé, vous pouvez opter pour une option plus abordable, l'Extended Lifecycle Support de TuxCare, qui propose des correctifs de sécurité de qualité pour une période allant jusqu'à cinq ans après la fin du cycle de vie.
Nous en reparlerons plus tard, mais tout d'abord, passons en revue quelques-unes des failles de sécurité critiques qui ont été corrigées dans Ubuntu 16.04 et Ubuntu 18.04. Nous apprendrons également quels sont les risques potentiels de ces problèmes et pourquoi il est essentiel de les corriger pour maintenir la sécurité et la stabilité du système.
Correction de vulnérabilités de haute gravité
CVE-2023-42753 (score de gravité Cvss 3 : 7.8)
Une vulnérabilité en écriture hors limites a été découverte dans le sous-système netfilter du noyau Linux en raison d'une erreur de calcul du paramètre h->nets
de la table. Un utilisateur local peut utiliser cette faille pour planter le système ou même exécuter du code arbitraire.
CVE-2023-4921 (Score de gravité Cvss 3 : 7.8)
Une vulnérabilité de type "use-after-free" a été identifiée dans l'implémentation du planificateur Quick Fair Queueing au sein du noyau Linux en raison de sa gestion incorrecte des paquets réseau dans certaines conditions. Un utilisateur local peut utiliser cette faille pour planter le système ou même exécuter du code arbitraire.
CVE-2023-4881 (Score de gravité Cvss 3 : 7.1)
Une vulnérabilité en écriture hors limites a été identifiée dans le sous-système netfilter du noyau Linux en raison d'une validation incorrecte de la longueur des registres. Un attaquant local peut exploiter cette faille pour faire planter le système.
Note : Il a été attribué à tort à un bogue qui a été considéré comme un problème de non-sécurité par l'équipe de sécurité du noyau Linux.
CVE-2023-4622 (Score de gravité Cvss 3 : 7.0)
Une condition de course a été trouvée dans l'implémentation du socket de domaine Unix du noyau Linux, résultant en une vulnérabilité de type "use-after-free". Un utilisateur local peut utiliser cette faille pour planter le système ou même exécuter du code arbitraire.
CVE-2023-34319 (score de gravité Cvss 3 : 7.8)
Une vulnérabilité de type débordement de mémoire tampon a été découverte dans le pilote Xen netback backend du noyau Linux en raison d'une mauvaise gestion de certains paquets inhabituels provenant d'un frontend réseau paravirtualisé. Un attaquant dans une VM invitée peut utiliser cette faille pour planter le système ou même exécuter du code arbitraire.
CVE-2023-4623 (score de gravité Cvss 3 : 7.8)
Une vulnérabilité de type "use-after-free" a été identifiée dans l'implémentation de qdisc au sein du noyau Linux, qui ne parvient pas à valider correctement les classes internes. Un utilisateur local peut utiliser cette faille pour planter le système ou même exécuter du code arbitraire.
Vulnérabilités de gravité moyenne hautement prioritaires
CVE-2023-42752 (Score de gravité Cvss 3 : 5.5)
Une vulnérabilité de type débordement d'entier a été découverte dans l'implémentation de la pile réseau du noyau Linux, où la validation de la taille de l'objet skb (socket buffer) était incorrecte dans certaines conditions. Un attaquant peut utiliser cette faille pour planter le système ou même exécuter du code arbitraire.
CVE-2023-42755 (Score de gravité Cvss 3 : 5.5)
Une vulnérabilité en écriture hors limites a été découverte dans l'implémentation du classificateur du protocole de réservation de ressources IPv4 (RSVP) au sein du noyau Linux. Un attaquant local peut utiliser cette faille pour provoquer un déni de service (plantage du système). Le support du classificateur de paquets du noyau pour RSVP a été supprimé pour remédier à cette vulnérabilité.
Support du cycle de vie étendu pour Ubuntu
Le support officiel d'Ubuntu 16.04 a pris fin il y a deux ans, en avril 2021. Et Ubuntu 18.04 a récemment obtenu son statut de fin de vie en juin 2023. En l'absence de mises à jour de sécurité, les systèmes en fin de vie présentent un risque élevé en raison de vulnérabilités potentielles. Il est donc essentiel d'effectuer une mise à niveau vers la version bénéficiant d'un support à long terme ou d'opter pour un support à cycle de vie étendu.
Le support étendu du cycle de vie de TuxCare fournit les dernières mises à jour de sécurité pour le noyau Linux, les bibliothèques communes comme glibc, openssh et openssl, et les paquets de l'espace utilisateur. TuxCare surveille en permanence les vulnérabilités critiques du noyau et les autres problèmes de sécurité liés au système d'exploitation en fin de vie. Les correctifs pour les vulnérabilités les plus graves sont publiés dès qu'ils sont terminés et testés.
Les sources de cet article se trouvent dans le document USN-6440-1.