Bulletin d'alerte Debian

DSA-3696-1 linux -- Mise à jour de sécurité

Date du rapport :
19 octobre 2016
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 831014.
Dans le dictionnaire CVE du Mitre : CVE-2015-8956, CVE-2016-5195, CVE-2016-7042, CVE-2016-7425.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou à des fuites d'informations.

  • CVE-2015-8956

    L'absence de vérification des entrées dans le traitement de sockets RFCOMM Bluetooth peut avoir pour conséquence un déni de service ou une fuite d'informations.

  • CVE-2016-5195

    Une situation de compétition dans le code de gestion de mémoire peut être utilisée pour une augmentation de droits locale.

  • CVE-2016-7042

    Ondrej Kozina a découvert qu'une allocation de tampon incorrecte dans la fonction proc_keys_show() peut avoir comme conséquence un déni de service local.

  • CVE-2016-7425

    Marco Grassi a découvert un dépassement de tampon dans le pilote SCSI arcmsr qui peut avoir pour conséquence un déni de service local, ou éventuellement, l'exécution de code arbitraire.

En complément, cette mise à jour corrige une régression introduite dans DSA-3616-1 provoquant des problèmes de performance d'iptables (cf. bogue n° 831014 de Debian).

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.36-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets linux.