Bulletin d'alerte Debian

DLA-378-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :
5 janvier 2016
Paquets concernés :
linux-2.6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7550, CVE-2015-8543, CVE-2015-8575.
Plus de précisions :

Cette mise à jour du noyau Linux corrige les CVE suivants.

  • CVE-2015-7550

    Dmitry Vyukov a découvert une situation de compétition dans le sous-système keyring qui permet à un utilisateur local de provoquer un déni de service (plantage).

  • CVE-2015-8543

    Un utilisateur local autorisé à créer des sockets bruts pourrait provoquer un déni de service en indiquant un numéro de protocole incorrect pour le socket. L'attaquant doit avoir la capacité CAP_NET_RAW.

  • CVE-2015-8575

    David Miller a découvert un défaut dans l'implémentation des sockets Bluetooth SCO qui mène à une fuite d'informations vers des utilisateurs locaux.

En complément, cette mise à jour corrige une régression de la mise à jour précédente :

#808293

Une régression dans l'implémentation d'UDP empêchait freeradius et certaines autres applications de recevoir des données.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.32-48squeeze18.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.73-2+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt20-1+deb8u2 ou des versions précédentes.