Une nouvelle vulnérabilité a été corrigée dans le noyau Linux d'Ubuntu. Elle permet à un attaquant de provoquer une exécution de code arbitraire et un déni de service.

Suivie sous le nom de CVE-2022-27666 avec un score CVSS de 7.8, cette faille de débordement de la mémoire tampon du tas, détectée dans le code de transformation ESP IPsec dans les fichiers .c : « net/ipv4/esp4.c » et « net/ipv6/esp6 ». Elle permet à un acteur de menace local disposant d’un privilège d’utilisateur normal d’écraser les objets du tas du noyau et peut provoquer une menace d’escalade des privilèges locaux.

Après avoir les privilèges nécessaires, un attaquant peut provoquer un plantage du système ou éventuellement exécuter du code arbitraire.

Le problème peut être corrigé en mettant à jour le système d’exploitation affecté Ubuntu 20.04 vers une version corrigée.