Découverte de nouvelles failles de sécurité dans le noyau Linux
Le noyau Linux présente un certain nombre de failles de sécurité récemment découvertes qui peuvent être utilisées pour élever les privilèges locaux ou faire planter le système. Selon la base de données nationale des vulnérabilités (National Vulnerability Database, NVD), ces vulnérabilités peuvent avoir des effets graves et leur gravité est qualifiée d'"élevée". Il est important de remédier rapidement à ces vulnérabilités afin d'atténuer les risques potentiels.
Vulnérabilités de sécurité du noyau Linux
brcmf_get_assoc_ies in drivers/net/wireless/broadcom/brcm80211/brcmfmac/cfg80211.c
permet une vulnérabilité de lecture de type "slab-out-of-bound" dans le noyau Linux. Cette vulnérabilité est due au fait que assoc_info->req_len data
dépasse la taille de la mémoire tampon définie comme suit WL_EXTRA_BUF_MAX
. En conséquence, cette vulnérabilité provoque un déni de service.
Lorsque la valeur de lmax dépasse QFQ_MIN_LMAX, une vulnérabilité d'écriture hors limites se produit avant la version 6.2.13 du noyau Linux. Il en résulte des opérations d'écriture non autorisées en dehors des limites prévues.
Une vulnérabilité de type "use-after-free" dans Netfilter nf_tables du noyau Linux 6.3 .1 lors du traitement des requêtes par lots, permet à des acteurs malveillants d'effectuer des opérations arbitraires de lecture et d'écriture sur la mémoire kennel. Des utilisateurs locaux non privilégiés peuvent obtenir les privilèges de l'administrateur (root) en exploitant cette vulnérabilité.
Il s'agit d'une vulnérabilité d'accès à la mémoire hors limites trouvée dans le système de fichiers XFS du noyau Linux dans la façon dont un utilisateur restaure une image XFS après un échec avec un journal sale. Un utilisateur local peut utiliser cette faille pour planter le système ou élever ses privilèges.
Une vulnérabilité de type "use-after-free" dans le sous-système io_uring du noyau Linux peut être exploitée pour obtenir une escalade locale des privilèges. Pendant l'erreur, io_install_fixed_file et ses appelants appellent fput dans un fichier, provoquant un débordement de référence, ce qui conduit à cette vulnérabilité.
Une vulnérabilité a été détectée dans Netfilter au sein du noyau Linux antérieur à la version 5.10. Le problème concerne une condition de type "use-after-free" survenant dans le contexte de traitement des paquets. Cette vulnérabilité est due à une mauvaise gestion du nombre de séquences par CPU lors du remplacement simultané des règles iptables.
Protégez votre système contre les failles de sécurité de Linux
Correctifs en temps réel
Le maintien de la sécurité et de la stabilité de votre système nécessite des correctifs réguliers et des tests approfondis des vulnérabilités et des bogues. En procédant de la sorte, vous pouvez traiter de manière proactive les risques de sécurité potentiels et prévenir l'exposition sans avoir à compter sur les fenêtres de maintenance fournies par le fournisseur d'origine. Cette approche ajoute une couche de protection supplémentaire à la stratégie de gestion des vulnérabilités d'une organisation.
Pour rationaliser ce processus, KernelCare Enterprise propose des correctifs de sécurité automatisés sans redémarrage ni temps d'arrêt. KernelCare permet un déploiement plus rapide des correctifs, minimisant ainsi les temps d'arrêt du système et garantissant que les mises à jour de sécurité critiques sont mises en œuvre dès qu'elles sont disponibles.
Support de cycle de vie étendu
Votre distribution Linux a-t-elle déjà dépassé sa fin de vie ? Si oui, l 'Extended Lifecycle Support de TuxCare est une excellente option qui fournit des correctifs de vulnérabilité automatisés pour vos systèmes EOL jusqu'à quatre ans après la date EOL. Avec l'Extended Lifecycle Support, nous assurons le suivi des vulnérabilités critiques du noyau Linux et des problèmes de sécurité liés au système d'exploitation.
Si vous avez des besoins spécifiques pour votre organisation, adressez-vous à un expert de TuxCare, qui discutera avec vous pour comprendre vos besoins uniques et vous fournira la meilleure solution en conséquence.
Les sources de cet article comprennent un article de stack.watch.