Bulletin d'alerte Debian

DLA-2323-1 linux-4.19 -- Nouveau paquets LTS

Date du rapport :
12 août 2020
Paquets concernés :
linux-4.19
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 958300, Bogue 960493, Bogue 962254, Bogue 963493, Bogue 964153, Bogue 964480, Bogue 965365.
Dans le dictionnaire CVE du Mitre : CVE-2019-18814, CVE-2019-18885, CVE-2019-20810, CVE-2020-10766, CVE-2020-10767, CVE-2020-10768, CVE-2020-12655, CVE-2020-12771, CVE-2020-13974, CVE-2020-15393.
Plus de précisions :

Linux 4.19 a été empaqueté pour Debian 9 sous le nom de linux-4.19. Ce paquet fournit une méthode de gestion de mise à niveau pour les systèmes qui utilisent actuellement des paquets de noyau et de micrologiciel de la suite « Stretch-backports ».

Il n’est nul besoin de mettre à niveau les systèmes utilisant Linux 4.9, car cette version de noyau sera prise en charge pendant toute la durée de la période LTS.

Ce rétroportage n’inclut pas les paquets binaires suivants :

hyperv-daemons, libbpf-dev, libbpf4.19, libcpupower-dev, libcpupower1, liblockdep-dev, liblockdep4.19, linux-compiler-gcc-6-arm, linux-compiler-gcc-6-x86, linux-cpupower, linux-libc-dev, lockdep, usbip.

Les anciennes versions de la plupart de ceux-ci sont construites à partir du paquet source linux dans Debian 9.

Les images et modules de noyau ne seront pas signés pour une utilisation sur les systèmes avec le Secure Boot activé, car aucune prise en charge n’existe pour cela dans Debian 9.

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service ou une fuite d'informations.

  • CVE-2019-18814

    Navid Emamdoost a signalé une utilisation potentielle de mémoire après libération dans le module de sécurité AppArmor dans le cas où l’initialisation de cette règle d’audit échouerait. L’impact de sécurité est incertain.

  • CVE-2019-18885

    L’équipe bobfuzzer a découvert que des volumes Btrfs contrefaits pourraient déclencher un plantage (oops). Un attaquant capable de monter un tel volume pourrait utiliser cela pour provoquer un déni de service.

  • CVE-2019-20810

    Une fuite de mémoire potentielle a été découverte dans le pilote de média go7007. L’impact de sécurité est incertain.

  • CVE-2020-10766

    Anthony Steinhauser a signalé un défaut dans la mitigation pour « Speculative Store Bypass » (CVE-2018-3639) sur les CPU x86. Un utilisateur local pourrait utiliser cela pour désactiver temporairement la mitigation SSB dans d’autres tâches d’utilisateur. Si ces autres tâches exécutent du code confiné dans un bac à sable, cela permet à ce code de lire des informations sensibles dans le même processus mais en dehors du bac à sable.

  • CVE-2020-10767

    Anthony Steinhauser a signalé un défaut dans la mitigation pour la seconde variante de Spectre (CVE-2017-5715) sur les CPU x86. Selon les autres mitigations gérées par le CPU, le noyau peut ne pas utiliser IBPB pour mitiger cette variante dans l’espace utilisateur. Un utilisateur local pourrait utiliser cela pour lire des informations sensibles d’autres processus utilisateur.

  • CVE-2020-10768

    Anthony Steinhauser a signalé un défaut dans la mitigation pour la seconde variante de Spectre (CVE-2017-5715) sur les CPU x86. Après qu’une tâche ait forcé la désactivation de spéculation indirecte de branche à travers prctl(), elle pourrait encore la réactiver plus tard, aussi il n’était pas possible d’ignorer un programme qui l’activait de manière explicite.

  • CVE-2020-12655

    Zheng Bin a signalé que des volumes XFS contrefaits pourraient déclencher un plantage du système. Un attaquant capable de monter de tels volumes pourrait utiliser cela pour provoquer un déni de service.

  • CVE-2020-12771

    Zhiqiang Liu a signalé un bogue dans le pilote de bloc bcache qui pourrait conduire à un plantage du système. L’impact de sécurité est incertain.

  • CVE-2020-13974

    Kyungtae Kim a signalé un dépassement d'entier potentiel dans le pilote vt (virtual terminal). L’impact de sécurité est incertain.

  • CVE-2020-15393

    Kyungtae Kim a signalé une fuite de mémoire dans le pilote usbtest. L’impact de sécurité est incertain.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 4.19.132-1~deb9u1. De plus, cette mise à jour corrige les bogues de Debian n° 958300, n° 960493, n° 962254, n° 963493, n° 964153, n° 964480, n° 965365 et inclut beaucoup d’autres corrections de bogue des mises à jour de stable, versions 4.19.119 à 4.19.132.

Nous vous recommandons de mettre à jour vos paquets linux-4.19.

Pour disposer d'un état détaillé sur la sécurité de linux-4.19, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux-4.19

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.