Bulletin d'alerte Debian
DLA-0007-1 linux-2.6 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 18 juin 2014
- Paquets concernés :
- linux-2.6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2014-3153, CVE-2014-1438.
- Plus de précisions :
-
- CVE-2014-3153:
Pinkie Pie a découvert un problème dans le sous-système futex qui permet à un utilisateur local d'obtenir le contrôle de l'anneau 0 grâce à l'appel système futex. Un utilisateur normal pourrait utiliser ce défaut pour planter le noyau (avec comme résultat un déni de service) ou pour une élévation de privilèges.
- CVE-2014-1438:
La fonction restore_fpu_checking de arch/x86/include/asm/fpu-internal.h dans le noyau Linux antérieur à 3.12.8 sur les plateformes AMD K7 et K8 ne nettoyait pas les exceptions en attente avant de réaliser une instruction EMMS. Cela permet à des utilisateurs locaux de provoquer un déni de service (tâche tuée) ou éventuellement d'obtenir des privilèges à l'aide d'une application contrefaite.
Pour Debian 6
Squeeze
, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze7 de linux-2.6. - CVE-2014-3153: