Le Livepatch Ubuntu corrige plusieurs vulnérabilités du noyau Linux
Le service Ubuntu Livepatch corrige efficacement les vulnérabilités importantes et critiques du noyau Linux, éliminant ainsi la nécessité de redémarrer le système après l'application des correctifs. Il est inclus dans l'abonnement Ubuntu Pro.
Dans ce blog, nous allons discuter de plusieurs problèmes de sécurité qui ont été corrigés dans le Livepatch du noyau.
Mises à jour du Livepatch du noyau Ubuntu
CVE-2023-3090
Score CVSS 3.x : 7.8 Élevé
Le pilote réseau IP-VLAN du noyau Linux n'initialisait pas correctement la mémoire dans certaines situations, ce qui entraînait une vulnérabilité d'écriture hors limites du tas. Un attaquant peut utiliser ce problème pour déclencher un déni de service ou une exécution de code arbitraire.
CVE-2023-3567
Score CVSS 3.x : 7.1 Élevé
Une vulnérabilité de type "use-after-free" a été identifiée dans le pilote de terminal virtuel du noyau Linux, permettant à un attaquant local de provoquer un déni de service ou de divulguer des informations sensibles (mémoire du noyau).
CVE-2023-3609
Score CVSS 3.x : 7.8 Élevé
Une vulnérabilité de type "use-after-free" a été découverte dans l'implémentation du classificateur universel de paquets réseau 32 bits, car il comptait incorrectement les références dans certaines situations. Un attaquant local peut provoquer un déni de service ou exécuter du code arbitraire en utilisant cette faille.
CVE-2023-3776
Score CVSS 3.x : 7.8 Élevé
Il a été découvert que le composant net/sched : cls_fw du noyau Linux ne gérait pas correctement le comptage de références. Un attaquant peut exploiter ce problème pour élever les privilèges locaux. Si un attaquant prend le contrôle du compteur de référence et le met à zéro, il libère la référence, ce qui entraîne une vulnérabilité de type "use-after-free".
CVE-2023-3777
Score CVSS 3.x : 7.8 Élevé
Kevin Rich a découvert que le sous-système netfilter du noyau Linux ne gère pas correctement le flush des règles de table dans certaines conditions. Un attaquant local peut exploiter cela pour provoquer un déni de service du système ou une exécution de code arbitraire.
CVE-2023-3995 (doublon de CVE-2023-4147)
Score CVSS 3.x : 7.8 Élevé
Kevin Rich a identifié une vulnérabilité dans le sous-système netfilter du noyau Linux, révélant une gestion inadéquate des ajouts de règles aux chaînes liées dans des conditions spécifiques. Dans certaines situations, un attaquant local peut exploiter cette faille pour potentiellement déclencher un déni de service, entraînant un plantage du système ou l'exécution d'un code arbitraire.
CVE-2023-4004
Score CVSS 3.x : 7.8 Élevé
Une faille a été détectée dans le sous-système netfilter du noyau Linux, où la suppression des éléments PIPAPO n'est pas gérée de manière appropriée, ce qui entraîne une vulnérabilité de type "use-after-free". Dans ce contexte, un attaquant local peut exploiter cette vulnérabilité pour provoquer un déni de service ou exécuter du code arbitraire.
CVE-2023-4128
Score CVSS 3.x : 7.8 Élevé
Une découverte critique a mis en évidence des vulnérabilités de type "use-after-free" dans certaines implémentations de classificateurs de réseaux au sein du noyau Linux. Un attaquant local peut exploiter cette faille pour provoquer un déni de service ou même exécuter du code arbitraire.
CVE-2023-21400
Score CVSS 3.x : 6.7 Moyen
Ye Zhang et Nicolas Wu ont identifié une vulnérabilité dans le sous-système io_uring du noyau Linux, révélant des mécanismes de verrouillage inadéquats pour les anneaux avec IOPOLL, ce qui entraîne une vulnérabilité double-libre. Dans un tel scénario, un attaquant local pourrait exploiter ce problème pour provoquer un déni de service ou exécuter du code arbitraire.
CVE-2023-40283
Score CVSS 3.x : 7.8 Élevé
Une vulnérabilité a été découverte dans le sous-système Bluetooth du noyau Linux, liée à la mauvaise gestion de la libération de la prise L2CAP, ce qui entraîne une vulnérabilité de type "use-after-free". Un attaquant local peut exploiter cette faille pour provoquer un déni de service ou exécuter du code arbitraire.
Réflexions finales
Canonical a mis à disposition ces mises à jour de sécurité Ubuntu Livepatch pour différentes versions, notamment Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04, Ubuntu 16.04 et Ubuntu 14.04 ESM. Il est conseillé de mettre à jour la version Livepatch pour corriger ces problèmes.
Livepatch de Canonical est destiné aux utilisateurs d'Ubuntu et est relativement onéreux. Vous pouvez également envisager KernelCare Enterprise de TuxCare pour l'application automatisée et non perturbatrice de correctifs en direct pour toutes les principales distributions Linux, y compris Ubuntu, Debian, RHEL, AlmaLinux, CentOS, et bien d'autres. Comme il s'agit d'une solution unique, vous n'avez pas besoin d'utiliser plusieurs outils de live patching pour sécuriser vos ordinateurs basés sur Linux.
Découvrez la comparaison entre KernelCare Enterprise et Canonical Livepatch.
Les sources de cet article se trouvent dans les avis de sécurité d'Ubuntu.