Bulletin d'alerte Debian

DLA-1466-1 linux-4.9 -- Mise à jour de sécurité pour LTS

Date du rapport :
15 août 2018
Paquets concernés :
linux-4.9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 893393, Bogue 903122, Bogue 903767, Bogue 903776, Bogue 903838, Bogue 903914.
Dans le dictionnaire CVE du Mitre : CVE-2018-5390, CVE-2018-5391, CVE-2018-13405.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits ou un déni de service.

  • CVE-2018-5390

    (SegmentSmack)

    Juha-Matti Tilli a découvert qu'un attaquant distant peut déclencher les pires chemins de code pour le réassemblement d'un flux TCP avec un faible débit de paquets contrefaits pour l'occasion, menant à un déni de service distant.

  • CVE-2018-5391

    (FragmentSmack)

    Juha-Matti Tilli a découvert un défaut dans la manière dont le noyau Linux gérait le réassemblage de paquets IPv4 et IPv6 fragmentés. Un attaquant distant peut tirer avantage de ce défaut pour déclencher des algorithmes de réassemblage de fragments coûteux en temps et en calcul en envoyant des paquets contrefaits pour l'occasion, menant à un déni de service distant.

    Ce défaut est atténué en réduisant les limites par défaut d'utilisation de la mémoire pour des paquets fragmentés incomplets. La même atténuation peut être obtenue sans nécessiter de redémarrage, en réglant sysctls :

    net.ipv4.ipfrag_high_thresh = 262144
    net.ipv6.ip6frag_high_thresh = 262144
    net.ipv4.ipfrag_low_thresh = 196608
    net.ipv6.ip6frag_low_thresh = 196608

    Les valeurs par défaut peuvent encore être augmentées par une configuration locale si nécessaire.

  • CVE-2018-13405

    Jann Horn a découvert que la fonction inode_init_owner de fs/inode.c dans le noyau Linux permet à des utilisateurs locaux de créer des fichiers avec la propriété d'un groupe non prévu permettant à des attaquants d'augmenter leurs droits en rendant un simple fichier exécutable et SGID.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.9.110-3+deb9u2~deb8u1. Cette mise à jour inclut des correctifs pour plusieurs régressions dans la dernière version mineure.

La version 4.9.110-3+deb9u1~deb8u1 précédente incluait tous les correctifs ci-dessus, excepté pour CVE-2018-5391, qui doit être mitigé comme expliqué ci-dessus.

Nous vous recommandons de mettre à jour vos paquets linux-4.9.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.