Vulnérabilités AWS du noyau Linux corrigées dans Ubuntu 16.04
L'équipe de sécurité d'Ubuntu a corrigé plusieurs failles de sécurité dans le noyau Linux pour les systèmes Amazon Web Services (AWS) dans Ubuntu 16.04. Ces correctifs sont essentiels pour maintenir l'intégrité du système et se protéger contre les exploits potentiels. Examinons les vulnérabilités spécifiques et les mesures prises pour les résoudre.
Vue d'ensemble des vulnérabilités AWS du noyau Linux
Une situation de course a été identifiée dans le pilote Broadcom FullMAC WLAN du noyau Linux pendant le processus de débranchement du périphérique (hotplug). Cette vulnérabilité, connue sous le nom de "use-after-free", pourrait être exploitée par des attaquants pour provoquer un déni de service. Le problème a été corrigé afin d'éviter de telles conditions de course, améliorant ainsi la stabilité et la sécurité du pilote WLAN.
Le système de fichiers JFS présentait un problème de lecture hors limites dans la fonction dtSearch. Lors de la recherche de la page courante dans la table des entrées triées, un accès hors limite se produisait. Ce problème a été corrigé par l'ajout d'une vérification des limites et la définition du code de retour à -EIO, ce qui permet d'éviter les plantages potentiels et la corruption des données.
Dans le module de sécurité Tomoyo, un bogue d'écriture "use-after-free" (UAF) a été identifié dans tomoyo_write_control(). Le bogue s'est produit lorsque head->write_buf a été mis à jour pendant une opération write() de longues lignes. En s'assurant que head->write_buf est récupéré après que head->io_sem soit tenu, la vulnérabilité a été atténuée, empêchant les requêtes write() concurrentes de causer des problèmes UAF et double-free.
Une vulnérabilité de type "use-after-free" et "null-pointer dereference" a été découverte dans la fonctionnalité de routage de segments IPv6 (SR). La structure des opérations pernet pour le sous-système doit être enregistrée avant d'enregistrer la famille générique de liens réseau. Cette correction assure un ordre d'enregistrement correct, améliorant la robustesse du sous-système IPv6.
Mises à jour de sécurité supplémentaires
Outre les vulnérabilités du noyau Linux mentionnées ci-dessus, plusieurs autres sous-systèmes ont reçu des mises à jour de sécurité. Il s'agit notamment de
- Sous-système de la couche de blocs
- Pilotes d'E/S de l'espace utilisateur
- Système de fichiers distribués Ceph
- Système de fichiers Ext4
- Système de fichiers NILFS2
- Sous-système Bluetooth
- Le cœur de la mise en réseau
- Mise en réseau IPv4
- Couche de liaison logique
- Sous-système MAC80211
- Netlink
- Sous-système NFC
Ces mises à jour concernent plusieurs CVE, dont CVE-2023-52524, CVE-2023-52530, CVE-2023-52601, et bien d'autres encore, garantissant des améliorations de sécurité complètes à travers divers composants du noyau Linux.
Rester sécurisé sur Ubuntu 16.04
Malgré ces correctifs, il est essentiel de noter qu'Ubuntu 16.04 a atteint sa fin de vie. Les mises à jour de sécurité ne sont disponibles que par le biais d'un abonnement Ubuntu Pro, qui peut s'avérer coûteux. Cependant, pour ceux qui recherchent une solution plus abordable, l'Extended Lifecycle for Ubuntu 16.04 de TuxCare offre des mises à jour de sécurité continues avec des correctifs de vulnérabilité automatisés pendant cinq ans après la date de fin de vie.
La mise à niveau vers une version LTS plus récente peut être idéale à long terme, mais pour les environnements d'entreprise avec des configurations complexes, l'ELS peut être une option potentiellement plus abordable en raison du coût et du temps nécessaires à la planification et au test d'une migration approfondie.
Conclusion
En corrigeant ces vulnérabilités du noyau Linux AWS, vous pouvez vous assurer que les systèmes AWS-HWE fonctionnant sous Ubuntu 16.04 restent protégés contre les exploits potentiels. Pour les entreprises et les utilisateurs de versions plus anciennes, ELS fournit un chemin viable vers une sécurité continue sans mises à jour immédiates. TuxCare propose également KernelCare Enterprise, une solution de correctifs en direct, qui vous permet d'appliquer les mises à jour critiques du noyau sans avoir à redémarrer le système.
L'équipe de KernelCare travaille à la publication de correctifs pour les vulnérabilités susmentionnées. Vous pouvez suivre l'état de la publication pour différents systèmes d'exploitation en utilisant le tracker CVE de TuxCare.
Source : USN-6777-4