Bulletin d'alerte Debian
DLA-378-1 linux-2.6 -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 5 janvier 2016
- Paquets concernés :
- linux-2.6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-7550, CVE-2015-8543, CVE-2015-8575.
- Plus de précisions :
-
Cette mise à jour du noyau Linux corrige les CVE suivants.
- CVE-2015-7550
Dmitry Vyukov a découvert une situation de compétition dans le sous-système keyring qui permet à un utilisateur local de provoquer un déni de service (plantage).
- CVE-2015-8543
Un utilisateur local autorisé à créer des sockets bruts pourrait provoquer un déni de service en indiquant un numéro de protocole incorrect pour le socket. L'attaquant doit avoir la capacité CAP_NET_RAW.
- CVE-2015-8575
David Miller a découvert un défaut dans l'implémentation des sockets Bluetooth SCO qui mène à une fuite d'informations vers des utilisateurs locaux.
En complément, cette mise à jour corrige une régression de la mise à jour précédente :
- #808293
Une régression dans l'implémentation d'UDP empêchait freeradius et certaines autres applications de recevoir des données.
Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.32-48squeeze18.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.73-2+deb7u2.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt20-1+deb8u2 ou des versions précédentes.
- CVE-2015-7550