Avis de sécurité Ubuntu du 05 janvier 2023
Ubuntu vient de diffuser un bulletin de sécurité sur son système d’exploitation Linux. Elle concerne notamment la correction de multiples vulnérabilités au niveau du noyau linux.
Correction de la vulnérabilité (CVE-2022-43945). Elle concerne la gestion de l’implémentation de NFSD dans le noyau Linux au niveau de certains messages RPC, et entraîne un dépassement de mémoire tampon. Un attaquant distant peut utiliser cela et provoquer un déni de service avec un crash du système. Elle peut aussi entraîner l’exécution de code arbitraire à distance. (Sources)
Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.
Neutralisation de la vulnérabilité (CVE-2022-42703).Découverte par Jann Horn, elle concerne un mauvais suivi des allocations de mémoire pour les mappages VMA anonymes. Cette vulnérabilité entraîne une réutilisation potentielle de la structure de données. Un attaquant local peut utiliser cela et provoquer un déni de service avec un crash du système. Elle peut aussi entraîner l’exécution de code arbitraire. (Sources)
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.
Correction de la vulnérabilité (CVE-2022-33743). Découverte par Jan Beulich, elle concerne le noyau linux et plus précisément la gestion incorrecte des références de tampons de socket (skb) lors de la communication avec certains backends. Un attaquant local peut utiliser cela et provoquer un déni de service avec un crash invité. (Sources)
Neutralisation de la vulnérabilité (CVE-2022-3594). Elle concerne une gestion incorrecte d’erreur lu pilote de l’adaptateur Ethernet USB Realtek RTL8152 dans
le noyau Linux ne . Un attaquant local disposant d’un accès physique pourrait brancher un périphérique USB spécialement conçu
pour provoquer un déni de service (épuisement de la mémoire). (Sources)
Multiples vulnérabilités dans le noyau Linux d’Ubuntu. De multiples vulnérabilités ont été corrigées dans le noyau Linux d’Ubuntu. Certaines d’entre elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, une exécution de code arbitraire et un déni de service. (Sources)