LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2023 / Informations sur la sécurité -- DLA-3379-1 intel-microcode

Bulletin d'alerte Debian

DLA-3379-1 intel-microcode -- Mise à jour de sécurité pour LTS

Date du rapport :

1^er avril 2023

Paquets concernés :

intel-microcode

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1031334.
Dans le dictionnaire CVE du Mitre : CVE-2022-21216, CVE-2022-21233, CVE-2022-33196, CVE-2022-33972, CVE-2022-38090.

Plus de précisions :

Plusieurs vulnérabilités potentielles de sécurité dans certains processeurs d’Intel® ont été découvertes. Elles pouvaient permettre une divulgation d'informations ou une élévation des privilèges. Intel publie une mise à jour du microprogramme pour mitiger ces vulnérabilités potentielles.

Veuillez bien prendre en compte que le correctif pour le CVE-2022-33196 peut requérir une mise à jour du microprogramme.

• CVE-2022-21216

  (INTEL-SA-00700) Une granularité insuffisante du contrôle d’accès dans la gestion hors bande dans quelques processeurs extensibles Atom et Xeon d’Intel pouvait permettre à un utilisateur privilégié d’éventuellement augmenter ses privilèges à l'aide d’un accès par réseau adjacent.

• CVE-2022-33196

  (INTEL-SA-00738) Des permissions par défaut incorrectes dans certaines configurations de contrôleur de mémoire pour certains processeurs Xeon® d’Intel lors de l’utilisation des Software Guards Extensions pouvaient permettre à un utilisateur privilégié d’éventuellement augmenter ses privilèges à l’aide d’un accès local.

  Ce correctif peut requérir une mise à jour du microprogramme pour être effectif pour certains processeurs.

• CVE-2022-33972

  (INTEL-SA-00730) Un calcul incorrect dans le mécanisme de clé pour quelques processeurs Xeon de troisième génération d’Intel pouvait permettre à un utilisateur privilégié d’éventuellement divulguer des informations à l’aide d’un accès local.

• CVE-2022-38090

  (INTEL-SA-00767) Une isolation incorrecte de ressources partagées dans certains processeurs d’Intel lors de l’utilisation des Software Guard Extensions pouvait permettre à un utilisateur privilégié d’éventuellement divulguer des informations à l’aide d’un accès local.

• CVE-2022-21233

  (INTEL-SA-00657) Une isolation incorrecte de ressources partagées dans certains processeurs d’Intel pouvait permettre à un utilisateur privilégié d’éventuellement divulguer des informations à l’aide d’un accès local.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 3.20230214.1~deb10u1.

Nous vous recommandons de mettre à jour vos paquets intel-microcode.

Pour disposer d'un état détaillé sur la sécurité de intel-microcode, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/intel-microcode.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.