Bulletin d'alerte Debian

DLA-1392-1 linux -- Mise à jour de sécurité pour LTS

Date du rapport :
1er juin 2018
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 898100.
Dans le dictionnaire CVE du Mitre : CVE-2018-1093, CVE-2018-1130, CVE-2018-8897, CVE-2018-10940.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service.

  • CVE-2018-1093

    Wen Xu a signalé qu'une image contrefaite de système de fichiers ext4 pourrait déclencher une lecture hors limites dans la fonction ext4_valid_block_bitmap(). Un utilisateur local capable de monter des systèmes de fichiers arbitraires pourrait utiliser cela pour un déni de service.

  • CVE-2018-1130

    Le logiciel syzbot a trouvé que l’implémentation de DCCP de sendmsg() ne vérifie pas l’état de socket, conduisant éventuellement à un déréférencement de pointeur NULL. Un utilisateur local pourrait utiliser cela pour provoquer un déni de service (plantage).

  • CVE-2018-8897

    Nick Peterson de Everdox Tech LLC a découvert que les exceptions #DB qui étaient différées par MOV SS ou POP SS n'étaient pas correctement gérées, permettant à un utilisateur non privilégié de planter le noyau et de provoquer un déni de service.

  • CVE-2018-10940

    Dan Carpenter a signalé que le pilote de disque optique (cdrom) ne validait pas correctement le paramètre pour l’ioctl CDROM_MEDIA_CHANGED. Un utilisateur ayant accès à un périphérique cdrom pourrait utiliser cela pour provoquer un déni de service (plantage).

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 3.2.102-1. Cette version inclut aussi des corrections de bogue de la version 3.2.102 amont, comprenant un correctif pour une régression dans l’implémentation de SCTP pour la version 3.2.101.

Nous vous recommandons de mettre à jour vos paquets linux.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.