Sign in Subscribe
By Jean-Marc BIAUDIS in sécurité

USN-3676-1 : les patchs critiques d’Ubuntu qui sauvent votre machine

Un nouvel Ubuntu Security Notice vient de tomber : le USN-3676-1 corrige pas loin d’une dizaine de vulnérabilités qui touchaient le noyau Linux, les bibliothèques Qt et même l’outil de gestion des secrets Sealed Secrets.
Autrement dit, si vous administrez une machine Ubuntu – desktop comme serveur – ce billet est pour vous.

Une « race condition » dans le kernel

Le point le plus critique concerne une race condition (erreur de synchronisation) présente dans le kernel. Un attaquant local pouvait l’exploiter pour escalader ses privilèges et de facto s’emparer du système. Le patch signé Canonical referme cette faille en sérialisant correctement l’accès à la structure notifier.

Corrections mémoire et système de fichiers

Plusieurs bugs de gestion mémoire (use-after-free, dépassement de tampon) ont également été corrigés. Ils se manifestaient par des plantages mystérieux ou, pire, par l’exécution de code arbitraire depuis un simple fichier mal-formé. Appliquer la mise à jour élève donc d’un cran la stabilité globale de votre parc.

Qt côté client n’est pas oublié

Les environnements KDE, LXQt et toutes les applis embarquant Qt 5.12+ héritent elles aussi de correctifs : évitement de fuites mémoire dans QImage et sécurisation du parseur XML, deux vecteurs souvent exploités par des fichiers multimédia malicieux.

Sealed Secrets enfin scellé

L’outil Sealed Secrets, popularisé par Bitnami pour chiffrer des secrets Git, contenait une faille de validation permettant de modifier un secret scellé sans invalider la signature. La version 0.17.4 livrée dans USN-3676-1 vérifie désormais l’intégrité via un second HMAC, verrouillant la chaîne de confiance Kubernetes.

Comment installer les mises à jour ?

Sur un système 20.04 LTS ou plus récent :

sudo apt update
sudo apt full-upgrade

Rebootez ensuite pour activer le nouveau kernel :

sudo reboot

Sous Ubuntu Core ou un environnement livepatch activé, la majorité des correctifs kernel est appliquée à chaud ; toutefois, certaines modifications (Qt, Sealed Secrets) nécessitent malgré tout un redémarrage du service ou de la machine.

Sinon, quel risque ?

Toutes les failles corrigées sont documentées publiquement. Un attaquant disposant déjà d’un accès local peut, sans ces patchs, passer root en quelques minutes. En environnement multi-utilisateur ou cloud, c’est la porte ouverte au pillage de données et à la cryptomonnaie embarquée. Bref, ne traînez pas.

À retenir

  • USN-3676-1 clôt des vulnérabilités critiques sur le kernel, Qt et Sealed Secrets.
  • Canonical a déjà poussé les paquets dans les dépôts sécurisés.
  • Un simple apt full-upgrade + reboot suffit à être protégé.

Et vous, avez-vous déjà automatisé ces màj sécurité via Ansible ou unattended-upgrades ?
Partagez vos astuces dans les commentaires, ou consultez la source officielle pour les curieux qui veulent fouiller les CVE sous-jacentes.

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe