Bulletin d'alerte Debian

DLA-1481-1 linux-4.9 -- Mise à jour de sécurité pour LTS

Date du rapport :
28 août 2018
Paquets concernés :
linux-4.9
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 906769.
Dans le dictionnaire CVE du Mitre : CVE-2018-3620, CVE-2018-3646.
Plus de précisions :

Plusieurs chercheurs ont découvert une vulnérabilité dans la manière dont la conception du processeur Intel a implémenté l’exécution spéculative d’instructions en combinaison avec le traitement d’erreur de page. Ce défaut pourrait permettre à un attaquant contrôlant un processus sans droits de lire la mémoire à partir d’adresses arbitraires (contrôlées par un non utilisateur), incluant celles du noyau et de tous les autres processus en cours d’exécution sur le système ou traverser les limites invité/hôte pour lire la mémoire de l’hôte.

Pour complètement remédier à ces vulnérabilités, il est aussi nécessaire d’installer le microcode du CPU (seulement disponible dans Debian non-free). Les CPU courants de la classe serveur sont couverts par la mise à jour publiée avec DLA 1446-1.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 4.9.110-3+deb9u4~deb8u1.

Nous vous recommandons de mettre à jour vos paquets linux-4.9.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.