LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-378-1 linux-2.6

Bulletin d'alerte Debian

DLA-378-1 linux-2.6 -- Mise à jour de sécurité pour LTS

Date du rapport :

5 janvier 2016

Paquets concernés :

linux-2.6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7550, CVE-2015-8543, CVE-2015-8575.

Plus de précisions :

Cette mise à jour du noyau Linux corrige les CVE suivants.

• CVE-2015-7550

  Dmitry Vyukov a découvert une situation de compétition dans le sous-système keyring qui permet à un utilisateur local de provoquer un déni de service (plantage).

• CVE-2015-8543

  Un utilisateur local autorisé à créer des sockets bruts pourrait provoquer un déni de service en indiquant un numéro de protocole incorrect pour le socket. L'attaquant doit avoir la capacité CAP_NET_RAW.

• CVE-2015-8575

  David Miller a découvert un défaut dans l'implémentation des sockets Bluetooth SCO qui mène à une fuite d'informations vers des utilisateurs locaux.

En complément, cette mise à jour corrige une régression de la mise à jour précédente :

• #808293

  Une régression dans l'implémentation d'UDP empêchait freeradius et certaines autres applications de recevoir des données.

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.32-48squeeze18.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.73-2+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt20-1+deb8u2 ou des versions précédentes.