Bulletin d'alerte Debian

DSA-2992-1 linux -- Mise à jour de sécurité

Date du rapport :
29 juillet 2014
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 728705.
Dans le dictionnaire CVE du Mitre : CVE-2014-3534, CVE-2014-4667, CVE-2014-4943.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service ou une augmentation de droits :

  • CVE-2014-3534

    Martin Schwidefsky d'IBM a découvert que le sous-système ptrace ne vérifiait pas correctement la valeur de masque du psw (Program status word). Sur les systèmes s390, un utilisateur local normal pourrait utiliser ce défaut pour définir les bits de contrôle de l'espace d'adresses sur une combinaison de l'espace du noyau et ainsi obtenir un accès en lecture et écriture à la mémoire du noyau.

  • CVE-2014-4667

    Gopal Reddy Kodudula de Nokia Siemens Networks a découvert que la fonction sctp_association_free ne gérait pas correctement une certaine valeur de file d'attente. Cela permet aux attaquants distants de provoquer un déni de service (interruption de socket) à l'aide d'un paquet SCTP contrefait.

  • CVE-2014-4943

    Sasha Levin a découvert un défaut dans le protocole point à point (PPP) du noyau Linux lors de son utilisation avec le protocole de tunnellisation de niveau 2 (L2TP). Un utilisateur local normal pourrait utiliser ce défaut pour une augmentation de droits.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.60-1+deb7u3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.14.13-2.

Nous vous recommandons de mettre à jour vos paquets linux.