Bulletin d'alerte Debian

DLA-670-1 linux -- Mise à jour de sécurité pour LTS

Date du rapport :
20 octobre 2016
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-8956, CVE-2016-5195, CVE-2016-7042, CVE-2016-7425.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou des fuites d'informations.

  • CVE-2015-8956

    L'absence de vérification des entrées dans le traitement de sockets RFCOMM Bluetooth peut avoir pour conséquence un déni de service ou une fuite d'informations.

  • CVE-2016-5195

    Une situation de compétition dans le code de gestion de mémoire peut être utilisée pour une augmentation de droits locale. Cela n'affecte pas les noyaux construits avec PREEMPT_RT activé.

  • CVE-2016-7042

    Ondrej Kozina a découvert qu'une allocation de tampon incorrecte dans la fonction proc_keys_show() peut avoir pour conséquence un déni de service local.

  • CVE-2016-7425

    Marco Grassi a découvert un dépassement de tampon dans le pilote SCSI arcmsr qui peut avoir pour conséquence un déni de service local, ou éventuellement, l'exécution de code arbitraire.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.2.82-1. Cette version inclut aussi des correctifs de bogue issus de la version amont 3.2.82 et des mises à jour de l'ensemble de fonctions PREEMPT_RT vers la version 3.2.82-rt119.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.16.36-1+deb8u2.

Nous vous recommandons de mettre à jour vos paquets linux.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS