LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-0007-1 linux-2.6

Bulletin d'alerte Debian

DLA-0007-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :

18 juin 2014

Paquets concernés :

linux-2.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3153, CVE-2014-1438.

Plus de précisions :

• CVE-2014-3153:

  Pinkie Pie a découvert un problème dans le sous-système futex qui permet à un utilisateur local d'obtenir le contrôle de l'anneau 0 grâce à l'appel système futex. Un utilisateur normal pourrait utiliser ce défaut pour planter le noyau (avec comme résultat un déni de service) ou pour une élévation de privilèges.

• CVE-2014-1438:

  La fonction restore_fpu_checking de arch/x86/include/asm/fpu-internal.h dans le noyau Linux antérieur à 3.12.8 sur les plateformes AMD K7 et K8 ne nettoyait pas les exceptions en attente avant de réaliser une instruction EMMS. Cela permet à des utilisateurs locaux de provoquer un déni de service (tâche tuée) ou éventuellement d'obtenir des privilèges à l'aide d'une application contrefaite.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze7 de linux-2.6.