Canonical a publié aujourd’hui de nouvelles mises à jour majeures du kernel Linux pour toutes les versions Ubuntu prises en charge, y compris Ubuntu 21.10, 20.04 LTS et 18.04 LTS, afin de corriger jusqu’à 22 vulnérabilités de sécurité.
Quelles menaces sont corrigées ?
La plus grande menace corrigée dans cette nouvelle mise à jour de sécurité du kernel Linux pour les systèmes Ubuntu est CVE-2022-0435, une vulnérabilité de débordement de tampon basée sur la pile découverte par Samuel Page dans l’implémentation du protocole TIPC (Transparent Inter-Process Communication) de Linux, qui pourrait permettre à un attaquant distant de provoquer un déni de service (plantage du système) sur les installations ayant un support TIPC configuré. Ce problème de sécurité affectait tous les systèmes Ubuntu pris en charge.
Une autre vulnérabilité importante corrigée dans cette nouvelle mise à jour de sécurité est CVE-2022-0742, une faille découverte dans l’implémentation ICMPv6, qui pourrait permettre à un attaquant distant de provoquer un déni de service (épuisement de la mémoire). Toutefois, cette vulnérabilité n’affectait que les systèmes Ubuntu 21.10 et Ubuntu 20.04 LTS exécutant le kernel Linux 5.13.
La nouvelle mise à jour de sécurité d’Ubuntu corrige plusieurs autres problèmes affectant toutes les versions Ubuntu prises en charge. Il s’agit notamment de CVE-2021-28711, CVE-2021-28712, CVE-2021-28713, CVE-2021-28714 et CVE-2021-28715, cinq failles découvertes par Jürgen Groß dans le sous-système Xen et le pilote backend réseau Xen qui pourraient permettre à un attaquant dans une machine virtuelle invitée de provoquer un déni de service (consommation excessive de la mémoire) dans le domaine backend réseau ou dans une autre VM invitée.
Toutes les versions d’Ubuntu prises en charge sont également affectées par CVE-2022-0492, une faille découverte par Yiqi Sun et Kevin Wang dans l’implémentation de cgroups qui pourrait permettre à un attaquant local d’obtenir des privilèges administratifs, CVE-2021-4135, un problème de sécurité découvert dans le pilote de périphérique réseau simulé qui pourrait permettre à un attaquant local d’exposer des informations sensibles, et CVE-2022-0516, une faille découverte dans l’implémentation de KVM qui pourrait permettre à un attaquant local d’obtenir un accès en écriture non autorisé à la mémoire.
Sont également corrigées plusieurs failles affectant uniquement les systèmes Ubuntu 21.10 et 20.04 LTS exécutant Linux 5. 13, telles que CVE-2022-23222, un problème de sécurité découvert dans le vérificateur BPF, CVE-2021-39685, un problème de lecture ou d’écriture hors limites découvert par Szymon Heidrich dans le sous-système USB Gadget, CVE-2021-39698, une condition de course découverte dans l’implémentation du sondage, ainsi que CVE-2021-43975, un problème de sécurité découvert par Brendan Dolan-Gavitt dans le pilote de périphérique Ethernet aQuantia AQtion. Ces vulnérabilités pourraient permettre à des attaquants locaux de provoquer un déni de service (plantage du système) ou d’exécuter du code arbitraire.