Bulletin d'alerte Debian
DLA-103-1 linux-2.6 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 9 décembre 2014
- Paquets concernés :
- linux-2.6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-6657, CVE-2013-0228, CVE-2013-7266, CVE-2014-4157, CVE-2014-4508, CVE-2014-4653, CVE-2014-4654, CVE-2014-4655, CVE-2014-4943, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472.
- Plus de précisions :
-
Cette mise à jour de sécurité a été préparée conjointement par les équipes de sécurité du noyau et de la prise en charge à long terme de Debian, et représente la version 2.6.32.64 stable de la publication de l’amont (consulter https://lkml.org/lkml/2014/11/23/181 pour plus d’informations). Elle corrige les CVE décrits ci-dessous.
Remarque : si vous utilisez les versions openvz, veuillez considérer trois choses : a.) nous n’avons aucun retour à leur propos (au contraire de toutes les autres versions), b.) donc, faites votre test avant déploiement, et c.) une fois réalisé, faites un rapport à debian-lts@lists.debian.org.
Si vous n’utilisez pas les versions openvz, veuillez quand même considérer b+c :-)
- CVE-2012-6657
Correction de la fonction sock_setsockopt pour empêcher des utilisateurs locaux de pouvoir provoquer une attaque par déni de service (plantage du système).
- CVE-2013-0228
Correction d’une augmentation de privilèges pour XEN, permettant aux invités du système d’exploitation d’obtenir les privilèges du système d’exploitation invité.
- CVE-2013-7266
Correction de la fonction mISDN_sock_recvmsg pour empêcher des utilisateurs locaux d’obtenir des informations sensibles sur la mémoire du noyau.
- CVE-2014-4157
Plateformes MIPS : empêcher des utilisateurs locaux de contourner des restrictions voulues PR_SET_SECCOMP.
- CVE-2014-4508
Empêcher des utilisateurs locaux de provoquer un déni de service (OOPS et plantage du système) lorsque la vérification d’appels système est activée.
- CVE-2014-4653
Correction de l’implémentation de contrôle d’ALSA pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service et d’obtenir des informations sensibles sur la mémoire du noyau.
- CVE-2014-4943
Correction de la caractéristique PPPoL2TP pour empêcher des utilisateurs locaux d’augmenter leurs privilèges.
- CVE-2014-5077
Empêcher des attaquants distants de provoquer une attaque par déni de service concernant SCTP.
- CVE-2014-5471
Correction de la fonction parse_rock_ridge_inode_internal pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service à l'aide d’images iso9660 contrefaites.
- CVE-2014-9090
Correction de la fonction do_double_fault pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service (panique).
Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze9 de linux-2.6.
- CVE-2012-6657