Bulletin d'alerte Debian

DLA-1446-1 intel-microcode -- Mise à jour de sécurité pour LTS

Date du rapport :
27 juillet 2018
Paquets concernés :
intel-microcode
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-3639, CVE-2018-3640.
Plus de précisions :

Des chercheurs en sécurité ont identifié deux méthodes d’analyse logicielle qui, si utilisées dans des buts malveillants, ont le potentiel de rassembler improprement des données sensibles à partir de plusieurs types de périphériques informatiques avec des processeurs de fournisseurs différents et de systèmes d’exploitation différents.

Cette mise à jour nécessite une mise à jour du paquet intel-microcode, qui n’est pas libre. Les utilisateurs ayant déjà installé la version de Jessie-backports-sloppy n’ont nul besoin de mettre à niveau.

  • CVE-2018-3639

    Speculative Store Bypass (SSB) – aussi connu comme Variante 4

    Les systèmes avec des microprocesseurs utilisant l’exécution spéculative et l’exécution spéculative de lectures de mémoire avant que les adresses de toutes les écritures en mémoire antérieures soient connues, pourraient permettre une divulgation non autorisée d’informations à un attaquant avec un accès utilisateur local à l'aide d'une analyse par canal auxiliaire.

  • CVE-2018-3640

    Rogue System Register Read (RSRE) – aussi connu comme Variante 3a

    Les systèmes avec des microprocesseurs utilisant l’exécution spéculative et qui réalisent des lectures spéculatives de registres du système pourraient permettre une divulgation non autorisée de paramètres du système à un attaquant avec un accès utilisateur local à l'aide d'une analyse par canal auxiliaire.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.20180703.2~deb8u1.

Nous vous recommandons de mettre à jour vos paquets intel-microcode.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.