ClickCease Patch CVE-2020-14386 sans redémarrage avec KernelCare - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Patch CVE-2020-14386 sans redémarrage avec KernelCare

8 septembre 2020 - L'équipe d'experts de TuxCare

Patch CVE-2020-14368 sans redémarrage avec KernelCare-min (1)

CVE-2020-14386 est une nouvelle vulnérabilité du noyau qui peut être exploitée pour obtenir les privilèges root à partir de processus non privilégiés. Elle corrompt la mémoire dans les noyaux plus récents que 4.6 sur diverses distributions de Linux, y compris : 

  • Ubuntu Bionic (18.04) et plus récent
  • Debian 9 et 10
  • CentOS 8/RHEL 8

À propos des vulnérabilités de corruption de la mémoire

La corruption de mémoire est l'une des vulnérabilités les plus répandues, les plus dévastatrices et les plus largement exploitées.

D'après les recherches de Chengyu Song de Georgia Tech, les causes profondes de ce type de vulnérabilité sont les suivantes :

  1. Erreurs spatiales : Contrôle de liaison manquant, contrôle de liaison incorrect, chaîne de format, confusion de type, dépassement d'entier, etc.
  2. Erreurs temporelles : Utilisation libre, données non initialisées.

Il existe plusieurs techniques d'exploitation pour les vulnérabilités de corruption de la mémoire :

  • Attaques par injection (modification) de code
  • Attaques de détournement de flux de contrôle
  • Attaques orientées vers les données
  • Fuite d'informations
  • Utilisation de données non initialisées

Depuis plus de deux décennies, les violations de la sécurité de la mémoire et les attaques contre l'intégrité du flux de contrôle constituent une menace importante pour la sécurité des infrastructures d'entreprise. De nos jours, le besoin de protections contre la corruption de la mémoire devient plus important. 

 

Comment elle a été identifiée

Lors de l'audit des sources du noyau 5.7, Or Cohen de Palo Alto Networks a découvert une vulnérabilité de gravité modérée(CVE-2020-14386) qui conduit à une corruption de mémoire dans (net/packet/af-packet.c).

Le bogue se produit dans la fonction tpacker_rcv, lors du calcul de la variable netoff (unsigned short), po->tp_reserve (unsigned int) est ajouté à celle-ci, ce qui peut faire déborder netoff et lui donner une petite valeur. Seul un utilisateur local avec la capacité CAP_NET_RAW activée peut déclencher cette vulnérabilité.

Le bogue peut être exploité pour obtenir les privilèges root à partir de processus non privilégiés et il corrompt la mémoire dans les noyaux plus récents que 4.6 sur diverses distributions Linux, y compris Ubuntu Bionic (18.04) et plus récent, Debian 9, Debian 10 et CentOS 8/RHEL 8.

 

A quel point c'est nocif

Si la capacité CAP_NET_RAW est désactivée par défaut (ce qui est le cas pour tous les produits RHEL), seul un utilisateur privilégié peut déclencher le bug. C'est pourquoi cette vulnérabilité a un score de base CVSS v3 de 6.7, et est évaluée comme ayant un impact modéré.

C'est-à-dire qu'il n'est pas facile à exploiter, mais qu'il peut néanmoins conduire à une certaine compromission de la confidentialité, de l'intégrité ou de la disponibilité des ressources dans certaines circonstances.

 

Comment atténuer le CVE-2020-14386

Vous pouvez utiliser l'une des méthodes suivantes pour atténuer la vulnérabilité CVE-2020-14386 :

  • Appliquer les mesures d'atténuation du fournisseur

Par exemple, la solution de Redhat consiste à désactiver la capacité CAP_NET_RAW pour les utilisateurs réguliers et pour les exécutables, le cas échéant. 

La solution de Canonical Ubuntu consiste à désactiver les user_namespaces : 

sudo sysctl kernel.unprivileged_userns_clone=0

Aucun redémarrage n'est nécessaire pour cette méthode.

  • Mettez à jour le noyau avec la version la plus récente dès qu'elle est disponible.
    La méthode la plus simple, mais certainement pas la plus facile, consiste à redémarrer le serveur et à mettre à jour le noyau avec la version la plus récente.

  • Installez les correctifs de sécurité à l'aide d'un système de correctifs en direct.
    Avec    un système de correctifs en direct, tel que KernelCare, le correctif nécessaire est appliqué sans redémarrer le serveur. L'équipe de KernelCare, en particulier, est en train de créer des correctifs qui corrigeront cette vulnérabilité. Les correctifs pour Ubuntu 18.04 et les versions plus récentes sont attendus cette semaine, les correctifs pour RHEL et Debian suivront.

 

Calendrier de publication des correctifs de KernelCare :

  • Ubuntu 18.04 et plus récents - lundi 14 mars 

Publication des correctifs de KernelCare :

  • Proxmox 5 & 6
  • Ubuntu 16.04 (Xenial Xerus)
  • Ubuntu 18.04 (Castor bionique)
  • Ubuntu 20.04 (Fosse focale)

Gardez un œil sur cet article de blog et sur notre Twitter et Facebook pour être les premiers à savoir quand les correctifs seront ajoutés au flux de production.

 

En savoir plus sur la façon dont KernelCare traite d'autres vulnérabilités critiques :

  1. Zombieload 2 : L'équipe KernelCare s'en occupe !
  2. SWAPGS : Les correctifs KernelCare sont en route
  3. Panique et lenteur de SACK : Les correctifs KernelCare Live sont arrivés
  4. RIDL - Une autre attaque MDS dont le correctif en direct vous aurait épargné.
  5. Fallout - l'attaque du canal secondaire du MDS qui n'est pas Zombieload
  6. Vulnérabilité de QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnérable
  7. Correctifs CVE-2018-1000199
  8. Vulnérabilité DDIO 'NetCat' d'Intel

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

TuxCare’s Linux
& Open-Source
Year-End Survey

Complete this multiple-choice
questionnaire to get a chance to
win a prize valued at over $500!
Talk to An Expert
fermer le lien