LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-360-1 linux-2.6

Bulletin d'alerte Debian

DLA-360-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :

8 décembre 2015

Paquets concernés :

linux-2.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-7446, CVE-2015-7799, CVE-2015-7833, CVE-2015-7990, CVE-2015-8324.

Plus de précisions :

Cette mise à jour corrige les CVE décrits ci-dessous.

• CVE-2013-7446

  Dmitry Vyukov a découvert qu'une séquence particulière d'opérations valables sur des sockets locaux (AF_UNIX) pouvait avoir pour conséquence une utilisation de mémoire après libération. Cela peut être utilisé pour provoquer un déni de service (plantage) ou éventuellement une augmentation de droits.

• CVE-2015-7799

  郭永刚 a découvert qu'un utilisateur muni du droit d'accès à /dev/ppp peut provoquer un déni de service (plantage) en passant des paramètres incorrects à la commande ioctl PPPIOCSMAXCID. Ce défaut concerne aussi les nœuds des périphériques ISDN PPP.

• CVE-2015-7833

  Sergej Schumilo, Hendrik Schwartke et Ralf Spenneberg ont découvert un défaut dans le traitement de certains descripteurs de périphériques USB dans le pilote usbvision. Un attaquant disposant d'un accès physique au système peut utiliser ce défaut pour planter le système.

• CVE-2015-7990

  La correction pour CVE-2015-6937 était incomplète. Une situation de compétition lors de l'envoi d'un message sur un socket non relié peut encore provoquer un déréférencement de pointeur NULL. Un attaquant distant pourrait être capable de provoquer un déni de service (plantage) en envoyant un paquet contrefait.

• CVE-2015-8324

  Valintinr a signalé qu'une tentative pour monter un système de fichiers ext4 corrompu peut avoir pour conséquence un « kernel panic ». Un utilisateur autorisé à monter des systèmes de fichiers pourrait utiliser ce défaut pour planter le système.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.32-48squeeze17. Nous vous recommandons de mettre à jour vos paquets linux-2.6.

Pour les distributions oldstable (Wheezy) et stable (Jessie), CVE-2015-7833, CVE-2015-7990 et CVE-2015-8324 ont été corrigés et les autres problèmes seront corrigés prochainement.