Bulletin d'alerte Debian

DLA-0007-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :
18 juin 2014
Paquets concernés :
linux-2.6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-3153, CVE-2014-1438.
Plus de précisions :
  • CVE-2014-3153:

    Pinkie Pie a découvert un problème dans le sous-système futex qui permet à un utilisateur local d'obtenir le contrôle de l'anneau 0 grâce à l'appel système futex. Un utilisateur normal pourrait utiliser ce défaut pour planter le noyau (avec comme résultat un déni de service) ou pour une élévation de privilèges.

  • CVE-2014-1438:

    La fonction restore_fpu_checking de arch/x86/include/asm/fpu-internal.h dans le noyau Linux antérieur à 3.12.8 sur les plateformes AMD K7 et K8 ne nettoyait pas les exceptions en attente avant de réaliser une instruction EMMS. Cela permet à des utilisateurs locaux de provoquer un déni de service (tâche tuée) ou éventuellement d'obtenir des privilèges à l'aide d'une application contrefaite.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze7 de linux-2.6.