Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3060-1 linux

Bulletin d'alerte Debian

DSA-3060-1 linux -- Mise à jour de sécurité

Date du rapport :

31 octobre 2014

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 766195.
Dans le dictionnaire CVE du Mitre : CVE-2014-3610, CVE-2014-3611, CVE-2014-3645, CVE-2014-3646, CVE-2014-3647, CVE-2014-3673, CVE-2014-3687, CVE-2014-3688, CVE-2014-3690, CVE-2014-7207.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service :

• CVE-2014-3610

  Lars Bull de Google et Nadav Amit ont signalé un défaut dans la manière dont KVM gérait les écritures non canoniques dans certains registres MSR. Un utilisateur client privilégié peut exploiter ce défaut pour provoquer un déni de service (kernel panic) sur l'hôte.

• CVE-2014-3611

  Lars Bull de Google a signalé une situation de compétition dans le code d'émulation PIT de KVM. Un utilisateur client local disposant d'un accès aux ports d'entrées/sorties de PIT pourrait exploiter ce défaut pour provoquer un déni de service (plantage) sur l'hôte.

• CVE-2014-3645 / CVE-2014-3646

  L'équipe Advanced Threat Research d'Intel Security a découvert que le sous-système KVM ne gérait pas de matière élégante les sorties de machines virtuelles pour les instructions invept (relocations erronées dérivées d'EPT) et invvpid (relocations erronées basées sur VPID). Sur un hôte avec un processeur Intel et la prise en charge de sorties invept/invppid de machines virtuelles, un utilisateur client non privilégié pourrait utiliser ces instructions pour planter le client.

• CVE-2014-3647

  Nadav Amit a signalé que KVM faisait des erreurs de manipulation des adresses non canoniques lors de l'émulation d'instructions qui changent le registre rip, provoquant éventuellement l'échec d'une entrée de machine virtuelle. Un utilisateur client disposant d'un accès aux entrées/sorties ou aux entrées/sorties de projection en mémoire (MMIO) peut utiliser ce défaut pour provoquer un déni de service (plantage du système) du client.

• CVE-2014-3673

  Liu Wei de Red Hat a découvert un défaut dans net/core/skbuff.c menant à un kernel panic lors de la réception de morceaux ASCONF (Address Configuration Change Chunk) mal formés. Un attaquant distant pourrait utiliser ce défaut pour planter le système.

• CVE-2014-3687

  Un défaut dans la pile SCTP a été découvert menant à un kernel panic lors de la réception de morceaux ASCONF dupliqués. Un attaquant distant pourrait utiliser ce défaut pour planter le système.

• CVE-2014-3688

  Il a été découvert que la pile SCTP est prédisposée à un problème de manque de mémoire déclenché à distance causé par une mise en file d'attente excessive. Un attaquant distant pourrait utiliser ce défaut pour provoquer des conditions de déni de service sur le système.

• CVE-2014-3690

  Andy Lutomirski a découvert qu'un traitement incorrect de registre dans KVM pourrait conduire à un déni de service.

• CVE-2014-7207

  Plusieurs développeurs Debian ont signalé un problème dans le sous-système réseau IPv6. Un utilisateur local disposant d'un accès à des périphériques tun ou macvtap, ou à une machine virtuelle connectée à un périphérique de ce type, peut causer un déni de service (plantage du système).

Cette mise à jour inclut une correction de bogue lié à CVE-2014-7207 qui désactive l'UFO (UDP Fragmentation Offload) dans les pilotes macvtap, tun et virtio_net. Cela fera que la migration d'une machine virtuelle active d'un hôte fonctionnant avec une version plus ancienne du noyau vers un hôte fonctionnant avec cette version du noyau échouera, si la machine virtuelle a été assignée à un périphérique réseau virtio. Afin de migrer une telle machine virtuelle, il faut d'abord l'arrêter.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.63-2+deb7u1.

Nous vous recommandons de mettre à jour vos paquets linux.