Bulletin d'alerte Debian

DLA-103-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :
9 décembre 2014
Paquets concernés :
linux-2.6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-6657, CVE-2013-0228, CVE-2013-7266, CVE-2014-4157, CVE-2014-4508, CVE-2014-4653, CVE-2014-4654, CVE-2014-4655, CVE-2014-4943, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472.
Plus de précisions :

Cette mise à jour de sécurité a été préparée conjointement par les équipes de sécurité du noyau et de la prise en charge à long terme de Debian, et représente la version 2.6.32.64 stable de la publication de l’amont (consulter https://lkml.org/lkml/2014/11/23/181 pour plus d’informations). Elle corrige les CVE décrits ci-dessous.

Remarque : si vous utilisez les versions openvz, veuillez considérer trois choses : a.) nous n’avons aucun retour à leur propos (au contraire de toutes les autres versions), b.) donc, faites votre test avant déploiement, et c.) une fois réalisé, faites un rapport à debian-lts@lists.debian.org.

Si vous n’utilisez pas les versions openvz, veuillez quand même considérer b+c :-)

  • CVE-2012-6657

    Correction de la fonction sock_setsockopt pour empêcher des utilisateurs locaux de pouvoir provoquer une attaque par déni de service (plantage du système).

  • CVE-2013-0228

    Correction d’une augmentation de privilèges pour XEN, permettant aux invités du système d’exploitation d’obtenir les privilèges du système d’exploitation invité.

  • CVE-2013-7266

    Correction de la fonction mISDN_sock_recvmsg pour empêcher des utilisateurs locaux d’obtenir des informations sensibles sur la mémoire du noyau.

  • CVE-2014-4157

    Plateformes MIPS : empêcher des utilisateurs locaux de contourner des restrictions voulues PR_SET_SECCOMP.

  • CVE-2014-4508

    Empêcher des utilisateurs locaux de provoquer un déni de service (OOPS et plantage du système) lorsque la vérification d’appels système est activée.

  • CVE-2014-4653

    CVE-2014-4654 CVE-2014-4655

    Correction de l’implémentation de contrôle d’ALSA pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service et d’obtenir des informations sensibles sur la mémoire du noyau.

  • CVE-2014-4943

    Correction de la caractéristique PPPoL2TP pour empêcher des utilisateurs locaux d’augmenter leurs privilèges.

  • CVE-2014-5077

    Empêcher des attaquants distants de provoquer une attaque par déni de service concernant SCTP.

  • CVE-2014-5471

    CVE-2014-5472

    Correction de la fonction parse_rock_ridge_inode_internal pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service à l'aide d’images iso9660 contrefaites.

  • CVE-2014-9090

    Correction de la fonction do_double_fault pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service (panique).

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze9 de linux-2.6.