CVE-2020-28588 est une vulnérabilité de divulgation d'informations dans le noyau Linux qui pourrait permettre le contournement de KASLR, provoquant également la découverte de failles plus non corrigées dans les appareils ARM.
Vulnérabilité CVE-2020-28588
Selon les chercheurs de Cisco Talos qui ont découvert le problème, la vulnérabilité existe dans la fonctionnalité / proc / pid / syscall des périphériques ARM 32 bits exécutant Linux. La faille provient d'une mauvaise conversion des valeurs numériques lors de la lecture du fichier.
“TALOS-2020-1211 (CVE-2020-28588) est une vulnérabilité de divulgation d'informations qui pourrait permettre à un attaquant d'afficher la mémoire de la pile du noyau. Nous avons découvert ce problème pour la première fois sur un appareil Azure Sphere (version 20.10), un périphérique ARM 32 bits qui exécute un noyau Linux patché,” L'avis de Cisco Talos dit.
Les utilisateurs Linux doivent mettre à jour les produits concernés dès que possible: Versions du noyau Linux 5.10-rc4, 5.4.66 et 5.9.8. Chercheurs Talos testé et confirmé que ces versions du noyau Linux pourraient être exploitées par la vulnérabilité.
Un bogue précédent du noyau Linux est CVE-2019-11815, une vulnérabilité de condition de concurrence suivie comme CVE-2019-11815 trouvée dans des machines Linux exécutant des distributions avec des noyaux avant 5.0.8. La faille pourrait conduire à une utilisation après libre, liés au nettoyage des espaces de noms net, exposer les systèmes vulnérables aux attaques à distance.
Des paquets TCP spécialement conçus pourraient être utilisés pour lancer des attaques contre des boîtiers Linux. Cela pourrait déclencher des erreurs d'utilisation ultérieure libres et permettre à des pirates plus d'exécuter du code arbitraire. La vulnérabilité, rapporté dans 2019, était sévère, avoir un 8.1 score de base gravité, et il pourrait être exploité sans avoir besoin d'interaction avec l'utilisateur.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: