Bulletin d'alerte Debian

DSA-3237-1 linux -- Mise à jour de sécurité

Date du rapport :
26 avril 2015
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 741667, Bogue 782515, Bogue 782561, Bogue 782698.
Dans le dictionnaire CVE du Mitre : CVE-2014-8159, CVE-2014-9715, CVE-2015-2041, CVE-2015-2042, CVE-2015-2150, CVE-2015-2830, CVE-2015-2922, CVE-2015-3331, CVE-2015-3332, CVE-2015-3339.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou la fuite d'informations.

  • CVE-2014-8159

    Le sous-système InfiniBand/RDMA du noyau Linux ne nettoyait pas correctement les paramètres d'entrée en enregistrant des régions mémoire depuis l'espace utilisateur avec l'API (u)verbs. Un utilisateur local ayant accès à un périphérique /dev/infiniband/uverbsX pourrait utiliser ce défaut pour planter le système ou, éventuellement, augmenter ses droits sur le système.

  • CVE-2014-9715

    Le sous-système de suivi de connexion netfilter utilisait un type trop petit de décalage dans la structure de données de chaque connexion, suite à la correction d'un bogue dans Linux 3.2.33 et 3.6. Dans certaines configurations, cela pourrait mener à une corruption de la mémoire et à des plantages (même sans trafic malveillant). Ce problème pourrait aussi éventuellement conduire à la violation de la politique netfilter ou à l'exécution de code distant.

    Ce problème peut être atténué en désactivant le comptage du suivi de connexion :
    sysctl net.netfilter.nf_conntrack_acct=0

  • CVE-2015-2041

    Sasha Levin a découvert que le sous-système LLC exposait certaines variables comme des sysctl avec le mauvais type. Sur un noyau 64 bits, cela permettrait éventuellement une augmentation de droits depuis un processus ayant la capacité CAP_NET_ADMIN ; Ce problème peut également conduire à une fuite d'information peu importante.

  • CVE-2015-2042

    Sasha Levin a découvert que le sous-système RDS exposait certaines variables comme des sysctl avec le mauvais type. Sur un noyau 64 bits, cela peut conduire à une fuite d'information peu importante.

  • CVE-2015-2150

    Jan Beulich a découvert que les invités Xen sont actuellement autorisés à modifier tous les bits (accessibles en écriture) dans le registre de commande PCI des périphériques auxquels ils ont accès. Cela leur permet en particulier de désactiver le décodage de la mémoire et des E/S sur le périphérique à moins que celui-ci ne soit une fonction virtuelle SR-IOV, ce qui peut mener à un déni de service pour l'hôte.

  • CVE-2015-2830

    Andrew Lutomirski a découvert que lorsqu'une tâche 64 bits sur un noyau amd64 fait un appel système fork(2) ou clone(2) en utilisant int $0x80, le drapeau de compatibilité 32 bits est réglé (correctement) mais n'est pas retiré au retour de la fonction. Ainsi, à la fois seccomp et audit vont mal interpréter l'appel système suivant fait par la ou les tâches, menant éventuellement à une violation de la politique de sécurité.

  • CVE-2015-2922

    Modio AB a découvert que le sous-système IPv6 traiterait une déclaration de routeur n'indiquant pas de route mais juste une limite de sauts, ce qui pourrait ensuite être appliqué à l'interface l'ayant reçue. Cela peut conduire à la perte de connectivité IPv6 au-delà du réseau local.

    Ce problème peut être atténué en désactivant le traitement des déclarations de routeurs IPv6 si elles ne sont pas nécessaires :
    sysctl net.ipv6.conf.default.accept_ra=0
    sysctl net.ipv6.conf.<interface>.accept_ra=0

  • CVE-2015-3331

    Stephan Mueller a découvert que l'implémentation optimisée de RFC4106 GCM pour les processeurs x86 prenant en charge AESNI calculait de façon incorrecte les adresses de tampons dans certains cas. Si un tunnel IPsec est configuré pour utiliser ce mode (aussi connu sous le nom AES-GCM-ESP), cela pourrait conduire à une corruption de la mémoire et à des plantages (même sans trafic malveillant). Ce problème pourrait éventuellement mener à l'exécution de code distant.

  • CVE-2015-3332

    Ben Hutchings a découvert une régression dans la fonctionnalité TCP Fast Open dans Linux 3.16.7-ckt9, ce qui mène à un bogue du noyau quand elle est utilisée. Ce problème peut être utilisé comme un déni de service local.

  • CVE-2015-3339

    L'appel système execve(2) peut entrer en compétition avec des modifications d'attribut d'inode faits par chown(2). Bien que chown(2) nettoie les bits setuid/setgid d'un fichier s'il en change l'identifiant de son propriétaire, cette situation de compétition pourrait mener execve(2) à régler un uid/gid effectif pour le nouveau propriétaire, pouvant provoquer une augmentation de droits.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.68-1+deb7u1. Le paquet linux de Wheezy n'est pas affecté par CVE-2015-3332.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt9-3~deb8u1 ou des versions précédentes. De plus, cette version corrige une régression dans le pilote xen-netfront (bogue nº 782698).

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.16.7-ckt9-3 ou des versions précédentes. De plus, cette version corrige une régression dans le pilote xen-netfront (bogue nº 782698).

Nous vous recommandons de mettre à jour vos paquets linux.