Bulletin d'alerte Debian

DSA-2928-1 linux-2.6 -- Augmentation de droits, déni de service, fuite d'informations

Date du rapport :
14 mai 2014
Paquets concernés :
linux-2.6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-0196, CVE-2014-1737, CVE-2014-1738.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, à des fuites d'informations ou une augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2014-0196

    Jiri Slaby a découvert une situation de compétition dans la couche du pseudo-terminal qui pourrait conduire à un déni de service ou à une augmentation de droits.

  • CVE-2014-1737 CVE-2014-1738

    Matthew Daley a découvert une fuite d'informations et l'absence de vérification des entrées dans le contrôle d'entrées/sorties FDRAWCMD du pilote du lecteur de disquette qui pourraient avoir comme conséquence une augmentation de droits.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.6.32-48squeeze6.

Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :

  Debian 6.0 (Squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze6

Nous vous recommandons de mettre à niveau les paquets linux-2.6 et user-mode-linux.

Note : Debian suit avec attention tous les problèmes de sécurité connus dans chaque paquet du noyau linux pour toutes les publications bénéficiant d'une prise en charge active de la sécurité. Cependant, étant donnée la grande fréquence à laquelle des problèmes de sécurité mineurs sont découverts dans le noyau et les ressources nécessaires pour faire une mise à jour, les mises à jour pour les problèmes à faible priorité ne sont normalement pas publiées pour tous les noyaux en même temps. Elles seront plutôt publiées de façon échelonnée.