LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2017 / Informations sur la sécurité -- DLA-833-1 linux

Bulletin d'alerte Debian

DLA-833-1 linux -- Mise à jour de sécurité pour LTS

Date du rapport :

22 février 2017

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-9888, CVE-2014-9895, CVE-2016-6786, CVE-2016-6787, CVE-2016-8405, CVE-2017-5549, CVE-2017-6001, CVE-2017-6074.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou avoir d’autres impacts.

• CVE-2014-9888

  Russell King a trouvé que sur les systèmes ARM, la mémoire allouée pour les tampons DMA était mappée avec la permission d’exécution. Cela facilitait l’exploitation d’autres vulnérabilités dans le noyau.

• CVE-2014-9895

  Dan Carpenter a trouvé que l’ioctl MEDIA_IOC_ENUM_LINKS sur des périphériques de média aboutissait à une fuite d'informations.

• CVE-2016-6786 / CVE-2016-6787

  Le sous-système « performance events » ne gère pas correctement les verrouillages lors de certaines migrations, permettant à un attaquant local d'augmenter ses droits. Cela peut être atténué en désactivant l'utilisation non privilégiée de « performance events » : sysctl kernel.perf_event_paranoid=3.

• CVE-2016-8405

  Peter Pi de Trend Micro a découvert que le sous-système de mémoire d'image vidéo ne vérifie pas correctement les limites lors de la copie des tables de couleurs dans l'espace utilisateur, provoquant une lecture hors limites du tampon de tas, menant à la divulgation d'informations.

• CVE-2017-5549

  Le pilote de périphérique USB série KLSI KL5KUSB105 pourrait enregistrer le contenu de mémoire non initialisée du noyau avec pour conséquence une fuite d'informations.

• CVE-2017-6001

  Di Shen a découvert une situation de compétition entre des appels parallèles au sous-système « performance events », permettant à un attaquant local d'augmenter ses droits. Ce défaut existe à cause d'une correction incomplète de CVE-2016-6786. Cela peut être atténué en désactivant l'utilisation non privilégiée de « performance events » : sysctl kernel.perf_event_paranoid=3.

• CVE-2017-6074

  Andrey Konovalov a découvert une vulnérabilité d'utilisation de mémoire après libération dans le code réseau DCCP qui pourrait avoir pour conséquence un déni de service ou une augmentation des droits locale. Sur les systèmes où le module dccp n'a pas déjà été chargé, cela peut être atténué en le désactivant : echo>> /etc/modprobe.d/disable-dccp.conf install dccp false.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.2.84-2.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.16.39-1+deb8u1 ou précédente.

Nous vous recommandons de mettre à jour vos paquets linux.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.