Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2669-1 linux

Bulletin d'alerte Debian

DSA-2669-1 linux -- Augmentation de droits, déni de service et fuite d'informations

Date du rapport :

15 mai 2013

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-0160, CVE-2013-1796, CVE-2013-1929, CVE-2013-1979, CVE-2013-2015, CVE-2013-2094, CVE-2013-3076, CVE-2013-3222, CVE-2013-3223, CVE-2013-3224, CVE-2013-3225, CVE-2013-3227, CVE-2013-3228, CVE-2013-3229, CVE-2013-3231, CVE-2013-3234, CVE-2013-3235, CVE-2013-3301.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, une fuite d'informations ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-0160

  vladz a signalé une fuite de temporisation avec le périphérique caractère /dev/ptmx. Un utilisateur local pourrait utiliser cela pour déterminer des renseignements sensibles comme une taille de mot passe.

• CVE-2013-1796

  Andrew Honig de Google a signalé un problème dans le sous-système KVM. Un utilisateur de système d’exploitation client pourrait corrompre la mémoire du noyau, avec pour conséquence un déni de service.

• CVE-2013-1929

  Oded Horovitz et Brad Spengler ont signalé un problème dans le pilote de périphérique pour Broadcom Tigon3 basé sur gigabit Ethernet. Les utilisateurs pouvant attacher des périphériques non fiables peuvent créer une condition de dépassement, avec pour conséquence un déni de service ou une augmentation de droits.

• CVE-2013-1979

  Andy Lutomirski a signalé un problème dans le sous-système de traitement de message de contrôle au niveau de la socket. Des utilisateurs locaux pourraient éventuellement augmenter leurs droits.

• CVE-2013-2015

  Theodore Ts'o a fourni un correctif pour un problème dans le système de fichiers ext4. Des utilisateurs locaux pouvant monter un système de fichiers contrefait pour l'occasion peuvent provoquer un déni de service (boucle infinie).

• CVE-2013-2094

  Tommie Rantala a découvert un problème dans le sous-système perf. Une vulnérabilité d’accès hors limites permet aux utilisateurs locaux d’augmenter leurs droits.

• CVE-2013-3076

  Mathias Krause a découvert un problème dans l’interface d’espace utilisateur pour les algorithmes de hachage. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3222

  Mathias Krause a découvert un problème dans la prise en charge du protocole ATM (Asynchronous Transfer Mode). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3223

  Mathias Krause a découvert un problème dans la prise en charge du protocole de radio amateur AX.25. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3224

  Mathias Krause a découvert un problème dans le sous-système Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3225

  Mathias Krause a découvert un problème dans la prise en charge du protocole RFCOMM Bluetooth. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3227

  Mathias Krause a découvert un problème dans l’interface de communication du processeur vers les applications (CAIF, Communication CPU to Application CPU Interface). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3228

  Mathias Krause a découvert un problème dans la prise en charge du sous-système IrDA (infrarouge). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3229

  Mathias Krause a découvert un problème dans la prise en charge d’IUCV sur les systèmes s390. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3231

  Mathias Krause a découvert un problème dans la prise en charge du protocole ANSI/IEEE 802.2 LLC type 2. Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3234

  Mathias Krause a découvert un problème dans la prise en charge du protocole de radio amateur X.25 PLP (Rose). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3235

  Mathias Krause a découvert un problème dans la prise en charge du protocole TIPC (Transparent Inter Process Communication). Des utilisateurs locaux pourraient accéder à la mémoire sensible du noyau.

• CVE-2013-3301

  Namhyung Kim a signalé un problème dans le sous-système de suivi de processus (tracing). Un utilisateur local avec droits pourrait provoquer un déni de service (plantage du système). Cette vulnérabilité ne concerne pas les systèmes Debian par défaut.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 3.2.41-2+deb7u1.

Remarque : les mise à jour sont actuellement disponibles pour les architectures amd64, i386, ia64, s390, s390x et sparc. Les mise à jour pour les architectures restantes seront publiées quand elles seront disponibles.

Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :

	Debian 7.0 (Wheezy)
user-mode-linux	3.2-2um-1+deb7u1

Nous vous recommandons de mettre à jour vos paquets linux et user-mode-linux.

Remarque : Debian suit soigneusement tous les problèmes de sécurité connus concernant les noyaux Linux de toutes les publications activement suivies en sécurité. Cependant, en raison de la fréquence importante à laquelle des problèmes de sécurité de faible importance sont découverts dans le noyau et les ressources nécessaires pour réaliser une mise à jour, les mises à jour de faible importance ne seront généralement pas publiées pour tous les noyaux en même temps. À la place, elles seront publiées de façon échelonnée ou à saute-mouton.