L'équipe sécurité de Canonical indique avoir publié des mises à jour de sécurité dédiées à deux paquets présents dans les différentes variantes d'Ubuntu, mais aussi de Debian et d'autres distributions : needrestart et libmodule-scandeps-perl.

Elles corrigent un ensemble de cinq vulnérabilités (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, CVE-2024-10224), découvertes par l'éditeur Qualys, grâce auxquelles un attaquant disposant d'un accès local (au moyen par exemple d'un malware ou d'un compte utilisateur compromis) serait en mesure d'obtenir des droits administrateur sur la machine visée.

« Dans deux des vulnérabilités, CVE-2024-48990 et CVE-2024-48922, l'attaquant local peut définir une variable d'environnement (PYTHONPATH ou RUBYLIB), puis exécuter un script pour attendre que needrestart s'exécute et l'amener à utiliser l'environnement de l'attaquant pour exécuter du code arbitraire », illustre l'éditeur.

Certains y verront sans doute une forme d'ironie : needrestart est l'utilitaire chargé de déterminer si un service doit être redémarré après l'application d'une mise à jour.

Toutes les versions actuellement maintenues d'Ubuntu sont concernées par la mise à jour, de la 16.04 à la récente 24.10.

• Ubuntu 24.10 est disponible en version finale