LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2714-1 linux-4.19

Bulletin d'alerte Debian

DLA-2714-1 linux-4.19 -- Mise à jour de sécurité pour LTS

Date du rapport :

20 juillet 2021

Paquets concernés :

linux-4.19

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 990072.
Dans le dictionnaire CVE du Mitre : CVE-2020-36311, CVE-2021-3609, CVE-2021-33909, CVE-2021-34693.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service ou une fuite d'informations.

Cette mise à jour n’est pas encore disponible pour l’architecture armhf (ARM EABI hard-float).

• CVE-2020-36311

  Un défaut a été découvert dans le sous-système KVM pour les processeurs AMD, permettant à un attaquant de provoquer un déni de service en déclenchant une destruction de VM SEV.

• CVE-2021-3609

  Norbert Slusarek a signalé une vulnérabilité de situation de compétition dans la gestion de réseau de protocole CAN de BCM, permettant à un attaquant local d’augmenter ses privilèges.

• CVE-2021-33909

  Qualys Research Labs a découvert une vulnérabilité de conversion size_t vers int dans la couche système de fichiers du noyau Linux. Un attaquant local non privilégié capable de créer, monter puis supprimer une structure profonde de répertoires dont la longueur totale du chemin dépasse 1 Go, peut tirer avantage de ce défaut pour une élévation de privilèges.

  Vous trouverez plus de détails dans l'annonce de Qualys à l'adresse https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt

• CVE-2021-34693

  Norbert Slusarek a signalé une fuite d’informations dans la gestion de réseau de protocole CAN de BCM. Un attaquant local peut tirer avantage du défaut pour obtenir des informations sensibles à partir de la mémoire de pile du noyau.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 4.19.194-3~deb9u1. De plus cette annonce corrige une régression dans la précédente mise à jour (n° 990072) qui affecte LXC.

Nous vous recommandons de mettre à jour vos paquets linux-4.19.

Pour disposer d'un état détaillé sur la sécurité de linux-4.19, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux-4.19.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.