ClickCease Le Livepatch Ubuntu corrige plusieurs vulnérabilités du noyau Linux

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le Livepatch Ubuntu corrige plusieurs vulnérabilités du noyau Linux

Rohan Timalsina

Le 18 octobre 2023 - L'équipe d'experts de TuxCare

Le service Ubuntu Livepatch corrige efficacement les vulnérabilités importantes et critiques du noyau Linux, éliminant ainsi la nécessité de redémarrer le système après l'application des correctifs. Il est inclus dans l'abonnement Ubuntu Pro.

Dans ce blog, nous allons discuter de plusieurs problèmes de sécurité qui ont été corrigés dans le Livepatch du noyau.

 

Mises à jour du Livepatch du noyau Ubuntu

CVE-2023-3090

Score CVSS 3.x : 7.8 Élevé

Le pilote réseau IP-VLAN du noyau Linux n'initialisait pas correctement la mémoire dans certaines situations, ce qui entraînait une vulnérabilité d'écriture hors limites du tas. Un attaquant peut utiliser ce problème pour déclencher un déni de service ou une exécution de code arbitraire.

 

CVE-2023-3567

Score CVSS 3.x : 7.1 Élevé

Une vulnérabilité de type "use-after-free" a été identifiée dans le pilote de terminal virtuel du noyau Linux, permettant à un attaquant local de provoquer un déni de service ou de divulguer des informations sensibles (mémoire du noyau).

 

CVE-2023-3609

Score CVSS 3.x : 7.8 Élevé

Une vulnérabilité de type "use-after-free" a été découverte dans l'implémentation du classificateur universel de paquets réseau 32 bits, car il comptait incorrectement les références dans certaines situations. Un attaquant local peut provoquer un déni de service ou exécuter du code arbitraire en utilisant cette faille.

 

CVE-2023-3776

Score CVSS 3.x : 7.8 Élevé

Il a été découvert que le composant net/sched : cls_fw du noyau Linux ne gérait pas correctement le comptage de références. Un attaquant peut exploiter ce problème pour élever les privilèges locaux. Si un attaquant prend le contrôle du compteur de référence et le met à zéro, il libère la référence, ce qui entraîne une vulnérabilité de type "use-after-free".

 

CVE-2023-3777

Score CVSS 3.x : 7.8 Élevé

Kevin Rich a découvert que le sous-système netfilter du noyau Linux ne gère pas correctement le flush des règles de table dans certaines conditions. Un attaquant local peut exploiter cela pour provoquer un déni de service du système ou une exécution de code arbitraire.

 

CVE-2023-3995 (doublon de CVE-2023-4147)

Score CVSS 3.x : 7.8 Élevé

Kevin Rich a identifié une vulnérabilité dans le sous-système netfilter du noyau Linux, révélant une gestion inadéquate des ajouts de règles aux chaînes liées dans des conditions spécifiques. Dans certaines situations, un attaquant local peut exploiter cette faille pour potentiellement déclencher un déni de service, entraînant un plantage du système ou l'exécution d'un code arbitraire.

 

CVE-2023-4004

Score CVSS 3.x : 7.8 Élevé

Une faille a été détectée dans le sous-système netfilter du noyau Linux, où la suppression des éléments PIPAPO n'est pas gérée de manière appropriée, ce qui entraîne une vulnérabilité de type "use-after-free". Dans ce contexte, un attaquant local peut exploiter cette vulnérabilité pour provoquer un déni de service ou exécuter du code arbitraire.

 

CVE-2023-4128

Score CVSS 3.x : 7.8 Élevé

Une découverte critique a mis en évidence des vulnérabilités de type "use-after-free" dans certaines implémentations de classificateurs de réseaux au sein du noyau Linux. Un attaquant local peut exploiter cette faille pour provoquer un déni de service ou même exécuter du code arbitraire.

 

CVE-2023-21400

Score CVSS 3.x : 6.7 Moyen

Ye Zhang et Nicolas Wu ont identifié une vulnérabilité dans le sous-système io_uring du noyau Linux, révélant des mécanismes de verrouillage inadéquats pour les anneaux avec IOPOLL, ce qui entraîne une vulnérabilité double-libre. Dans un tel scénario, un attaquant local pourrait exploiter ce problème pour provoquer un déni de service ou exécuter du code arbitraire.

 

CVE-2023-40283

Score CVSS 3.x : 7.8 Élevé

Une vulnérabilité a été découverte dans le sous-système Bluetooth du noyau Linux, liée à la mauvaise gestion de la libération de la prise L2CAP, ce qui entraîne une vulnérabilité de type "use-after-free". Un attaquant local peut exploiter cette faille pour provoquer un déni de service ou exécuter du code arbitraire.

 

Réflexions finales

Canonical a mis à disposition ces mises à jour de sécurité Ubuntu Livepatch pour différentes versions, notamment Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04, Ubuntu 16.04 et Ubuntu 14.04 ESM. Il est conseillé de mettre à jour la version Livepatch pour corriger ces problèmes.

Livepatch de Canonical est destiné aux utilisateurs d'Ubuntu et est relativement onéreux. Vous pouvez également envisager KernelCare Enterprise de TuxCare pour l'application automatisée et non perturbatrice de correctifs en direct pour toutes les principales distributions Linux, y compris Ubuntu, Debian, RHEL, AlmaLinux, CentOS, et bien d'autres. Comme il s'agit d'une solution unique, vous n'avez pas besoin d'utiliser plusieurs outils de live patching pour sécuriser vos ordinateurs basés sur Linux.

Découvrez la comparaison entre KernelCare Enterprise et Canonical Livepatch.

 

Les sources de cet article se trouvent dans les avis de sécurité d'Ubuntu.

Résumé
Le Livepatch Ubuntu corrige plusieurs vulnérabilités du noyau Linux
Nom de l'article
Le Livepatch Ubuntu corrige plusieurs vulnérabilités du noyau Linux
Description
Découvrez les mises à jour de sécurité Ubuntu Livepatch qui corrigent les vulnérabilités de haute sévérité découvertes dans le noyau Linux.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information