Bulletin d'alerte Debian

DSA-2952-1 kfreebsd-9 -- Mise à jour de sécurité

Date du rapport :
5 juin 2014
Paquets concernés :
kfreebsd-9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-1453, CVE-2014-3000, CVE-2014-3880.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau FreeBSD qui pourraient conduire à un déni de service ou éventuellement à la divulgation de la mémoire du noyau. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-1453

    Un attaquant distant, authentifié, pourrait provoquer le blocage du serveur NFS, avec comme conséquence un déni de service.

  • CVE-2014-3000:

    Un attaquant qui peut envoyer une série de paquets spécialement contrefaits avec une connexion pourrait provoquer une situation de déni de service en provoquant le plantage du noyau.

    En outre, parce que la mémoire de pile non définie peut être écrasée par d'autres processus du noyau, même si c'est difficile, il peut être possible à un attaquant de bâtir une attaque soigneusement contrefaite pour obtenir une portion de la mémoire du noyau à l'aide d'un connecteur. Cela peut avoir pour conséquence la divulgation d'informations sensibles telles que les identifiants de connexion, etc. avant ou même sans le plantage du système.

  • CVE-2014-3880

    Un attaquant local peut déclencher un plantage du noyau (triple faute) avec une perte potentielle de données, lié aux appels système execve/fexecve. Rapporté par Ivo De Decker.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 9.0-10+deb70.7.

Pour les distributions unstable (Sid) et testing (Jessie), ces problèmes sont corrigés dans la version 10.0-6 de kfreebsd-10.

Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.