Bulletin d'alerte Debian

DLA-1422-2 linux -- Mise à jour de sécurité pour LTS

Date du rapport :
15 juillet 2018
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 898165.
Dans le dictionnaire CVE du Mitre : CVE-2017-5715, CVE-2017-5753, CVE-2018-1066, CVE-2018-1093, CVE-2018-1130, CVE-2018-3665, CVE-2018-5814, CVE-2018-9422, CVE-2018-10853, CVE-2018-10940, CVE-2018-11506, CVE-2018-1223, CVE-2018-1000204.
Plus de précisions :

La mise à jour précédente de linux échouait dans la construction pour l’architecture armhf (ARM EABI hard-float). Cette mise à jour corrige cela. Pour toutes les autres architectures, il est nul besoin de mise à niveau ou de redémarrage. À titre indicatif, la partie concernée de l’annonce originale est la suivante.

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations.

  • CVE-2017-5715

    Plusieurs chercheurs ont découvert une vulnérabilité dans divers processeurs prenant en charge l'exécution spéculative, permettant à un attaquant contrôlant un processus non privilégié de lire la mémoire à partir d'adresses arbitraires, y compris à partir du noyau et de tous les autres processus exécutés dans le système.

    Cette attaque particulière a été nommée Spectre variante 2 (« branch target injection ») et elle est palliée pour l'architecture Intel x86 (amd64 et i386) en utilisant de nouvelles fonctions dans le microcode.

    Cette mitigation nécessite une mise à jour du microcode du processeur qui n’est pas libre. Pour les processeurs récents d’Intel, cela est inclus dans le paquet intel-microcode à partir de la version 3.20180425.1~deb8u1. Pour les autres processeurs, cela pourrait être inclus dans une mise à jour du BIOS du système ou du micrologiciel UEFI, ou dans une mise à jour future du paquet amd64-microcode.

    Cette vulnérabilité a déjà été mitigée pour l’architecture x86 avec la fonction retpoline.

  • CVE-2017-5753

    De nouvelles instances de code vulnérables à Spectre variante 1 (contournement de vérification de limites) ont été mitigées.

  • CVE-2018-1066

    Dan Aloni a signalé à Red Hat que l’implémentation du client CIFS pourrait déréférencer un pointeur NULL si le serveur renvoie une réponse non valable lors du réglage de la négociation NTLMSSP. Cela pourrait être utilisé par un serveur malveillant pour un déni de service.

    La mitigation appliquée précédemment n’était pas appropriée pour Linux 3.16 et a été remplacée par un correctif alternatif.

  • CVE-2018-1093

    Wen Xu a signalé qu’une image de système de fichiers ext4 contrefaite pourrait déclencher une lecture hors limites dans la fonction ext4_valid_block_bitmap(). Un utilisateur local capable de monter des systèmes de fichiers arbitraires pourrait utiliser cela pour un déni de service.

  • CVE-2018-1130

    Le logiciel syzbot a trouvé que l’implémentation de DCCP de sendmsg() ne vérifie pas l’état de socket, conduisant éventuellement à un déréférencement de pointeur NULL. Un utilisateur local pourrait utiliser cela pour provoquer un déni de service (plantage).

  • CVE-2018-3665

    Plusieurs chercheurs ont découvert que quelques processeurs x86 d’Intel peuvent de manière spéculative lire des registres floating-point et vector même si l’accès à ces registres est désactivé. La fonction du noyau Linux lazy FPU repose sur ce contrôle d’accès pour éviter l’enregistrement et la restitution de ces registres pour des tâches ne les utilisant pas, et était activée par défaut pour les processeurs x86 qui ne prennent pas en charge l’instruction XSAVEOPT.

    Si lazy FPU est activé sur un des processeurs affectés, un attaquant contrôlant un processus non privilégié peut être capable de lire des informations sensibles de processus d’autres utilisateurs ou du noyau. Cela affecte particulièrement les processeurs basés sur les conceptions de cœur Nehalem et Westemere. Ce problème a été mitigé en désactivant lazy FPU par défaut sur tous les processeurs x86 prenant en charge les instructions FXSAVE et FXRSTOR. Cela inclut tous les processeurs connus comme étant affectés et la plupart des processeurs réalisant l’exécution spéculative. Il peut être aussi mitigé en ajoutant le paramètre de noyau : eagerfpu=on.

  • CVE-2018-5814

    Jakub Jirasek a signalé une situation de compétition dans le pilote hôte USB/IP. Un client malveillant pourrait utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire), et éventuellement exécuter du code, sur le serveur USB/IP.

  • CVE-2018-9422

    Il a été signalé que l’appel système futex() pourrait être utilisé par un utilisateur non privilégié pour une augmentation de droits.

  • CVE-2018-10853

    Andy Lutomirski et Mika Penttilä ont signalé que KVM pour les processeurs x86 ne réalisait pas la vérification de privilèges nécessaires lors de de l’émulation de certaines instructions. Cela pourrait être utilisé par un utilisateur non privilégié dans une VM de système invité pour augmenter ses droits dans le système invité.

  • CVE-2018-10940

    Dan Carpenter a signalé que le pilote de disque optique (cdrom) ne validait pas correctement le parametre pour l’ioctl CDROM_MEDIA_CHANGED. Un utilisateur ayant accès à un périphérique cdrom pourrait utiliser cela pour provoquer un déni de service (plantage).

  • CVE-2018-11506

    Piotr Gabriel Kosinski et Daniel Shapira ont signalé que le pilote de disque optique SCSI (sr) n’allouait pas un tampon suffisamment grand pour les données indicatives « sense ». Un utilisateur, ayant accès à un périphérique optique SCSI pouvant produire plus de 64 octets de données indicatives, pourrait utiliser cela pour provoquer un déni de service (plantage ou corruption de mémoire), et éventuellement pour une augmentation de droits.

  • CVE-2018-12233

    Shankara Pailoor a signalé qu’une image de système de fichiers JFS contrefaite pourrait déclencher un déni de service (corruption de mémoire). Cela pourrait éventuellement être aussi utilisé pour une augmentation de droits.

  • CVE-2018-1000204

    Le logiciel syzbot a trouvé que le pilote générique SCSI (sg) pouvait en certaines circonstances permettre de lire des données de tampons non initialisés qui pourraient inclure des informations sensibles du noyau ou d’autres tâches. Cependant, seul les utilisateurs privilégiés avec les capacités CAP_SYS_ADMIN ou CAP_SYS_RAWIO étaient autorisés à cela, donc l’impact de sécurité était faible ou inexistant.

Pour Debian 8 Jessie, ces problèmes onnt été corrigés dans la la version 3.16.57-1. De plus, cette mise à jour corrige le bogue Debian n° 898165 et inclut beaucoup d’autres corrections de bogues issues des mises à jour de la version 3.16.57 stable.

Nous vous recommandons de mettre à jour vos paquets linux.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.