LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-103-1 linux-2.6

Bulletin d'alerte Debian

DLA-103-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :

9 décembre 2014

Paquets concernés :

linux-2.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-6657, CVE-2013-0228, CVE-2013-7266, CVE-2014-4157, CVE-2014-4508, CVE-2014-4653, CVE-2014-4654, CVE-2014-4655, CVE-2014-4943, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472.

Plus de précisions :

Cette mise à jour de sécurité a été préparée conjointement par les équipes de sécurité du noyau et de la prise en charge à long terme de Debian, et représente la version 2.6.32.64 stable de la publication de l’amont (consulter https://lkml.org/lkml/2014/11/23/181 pour plus d’informations). Elle corrige les CVE décrits ci-dessous.

Remarque : si vous utilisez les versions openvz, veuillez considérer trois choses : a.) nous n’avons aucun retour à leur propos (au contraire de toutes les autres versions), b.) donc, faites votre test avant déploiement, et c.) une fois réalisé, faites un rapport à debian-lts@lists.debian.org.

Si vous n’utilisez pas les versions openvz, veuillez quand même considérer b+c :-)

• CVE-2012-6657

  Correction de la fonction sock_setsockopt pour empêcher des utilisateurs locaux de pouvoir provoquer une attaque par déni de service (plantage du système).

• CVE-2013-0228

  Correction d’une augmentation de privilèges pour XEN, permettant aux invités du système d’exploitation d’obtenir les privilèges du système d’exploitation invité.

• CVE-2013-7266

  Correction de la fonction mISDN_sock_recvmsg pour empêcher des utilisateurs locaux d’obtenir des informations sensibles sur la mémoire du noyau.

• CVE-2014-4157

  Plateformes MIPS : empêcher des utilisateurs locaux de contourner des restrictions voulues PR_SET_SECCOMP.

• CVE-2014-4508

  Empêcher des utilisateurs locaux de provoquer un déni de service (OOPS et plantage du système) lorsque la vérification d’appels système est activée.

• CVE-2014-4653

  CVE-2014-4654 CVE-2014-4655

  Correction de l’implémentation de contrôle d’ALSA pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service et d’obtenir des informations sensibles sur la mémoire du noyau.

• CVE-2014-4943

  Correction de la caractéristique PPPoL2TP pour empêcher des utilisateurs locaux d’augmenter leurs privilèges.

• CVE-2014-5077

  Empêcher des attaquants distants de provoquer une attaque par déni de service concernant SCTP.

• CVE-2014-5471

  CVE-2014-5472

  Correction de la fonction parse_rock_ridge_inode_internal pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service à l'aide d’images iso9660 contrefaites.

• CVE-2014-9090

  Correction de la fonction do_double_fault pour empêcher des utilisateurs locaux de provoquer une attaque par déni de service (panique).

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.6.32-48squeeze9 de linux-2.6.