Bulletin d'alerte Debian

DSA-2745-1 linux -- Augmentation de droits/déni de service/fuite d'informations

Date du rapport :
28 août 2013
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 701744.
Dans le dictionnaire CVE du Mitre : CVE-2013-1059, CVE-2013-2148, CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851, CVE-2013-2852, CVE-2013-4162, CVE-2013-4163.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une fuite d'informations ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2013-1059

    Chanam Park a signalé un problème dans le système de stockage distribué Ceph. Des utilisateurs distants peuvent provoquer un déni de service en envoyant un message auth_reply contrefait pour l'occasion.

  • CVE-2013-2148

    Dan Carpenter a signalé une fuite d'informations dans le sous-système de notification d'accès au système de fichiers (fanotify). Des utilisateurs locaux pourraient avoir accès à de la mémoire sensible du noyau.

  • CVE-2013-2164

    Jonathan Salwan a signalé une fuite d'informations dans le pilote de CD-ROM. Un utilisateur local d'un système ayant un lecteur de CD-ROM défectueux pourrait accéder à de la mémoire sensible.

  • CVE-2013-2232

    Dave Jones et Hannes Frederic Sowa ont résolu un problème dans le sous-système IPv6. Des utilisateurs locaux pourraient provoquer un déni de service en utilisant un socket AF_INET6 pour se connecter à une destination en IPv4.

  • CVE-2013-2234

    Mathias Krause a signalé une fuite de mémoire dans l'implémentation des sockets PF_KEYv2. Des utilisateurs locaux pourraient avoir accès à de la mémoire sensible du noyau.

  • CVE-2013-2237

    Nicolas Dichtel a signalé une fuite de mémoire dans l'implémentation des sockets PF_KEYv2. Des utilisateurs locaux pourraient avoir accès à de la mémoire sensible du noyau.

  • CVE-2013-2851

    Kees Cook a signalé un problème dans le sous-système de bloc. Des utilisateurs locaux ayant l'uid 0 pourraient obtenir des droits augmentés de ring 0. Ce n'est un problème de sécurité que pour certains systèmes spécialement configurés.

  • CVE-2013-2852

    Kees Cook a signalé un problème dans le pilote de réseau b43 pour certains périphériques sans fil Broadcom. Des utilisateurs locaux ayant l'uid 0 pourraient obtenir des droits augmentés de ring 0. Ce n'est un problème de sécurité que pour certains systèmes spécialement configurés.

  • CVE-2013-4162

    Hannes Frederic Sowa a signalé un problème dans le sous-système de réseau IPv6. Des utilisateurs locaux peuvent provoquer un déni de service (plantage du système).

  • CVE-2013-4163

    Dave Jones a signalé un problème dans le sous-système de réseau IPv6. Des utilisateurs locaux peuvent provoquer un déni de service (plantage du système).

Cette mise à jour comprend également la correction d'une régression dans le sous-système Xen.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.46-1+deb7u1.

Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :

  Debian 7.0 (Wheezy)
user-mode-linux 3.2-2um-1+deb7u2

Nous vous recommandons de mettre à jour vos paquets linux et user-mode-linux.

Note: Debian suit avec attention tous les problèmes de sécurité connus dans chaque paquet du noyau linux pour toutes les publications bénéficiant d'une prise en charge active de la sécurité. Cependant, étant donnée la grande fréquence à laquelle des problèmes de sécurité mineurs sont découverts dans le noyau et les ressources nécessaires pour faire une mise à jour, les mises à jour pour les problèmes à faible priorité ne sont normalement pas publiées pour tous les noyaux en même temps. Elles seront plutôt publiées de façon échelonnée.