Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3616-1 linux

Bulletin d'alerte Debian

DSA-3616-1 linux -- Mise à jour de sécurité

Date du rapport :

4 juillet 2016

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 828914.
Dans le dictionnaire CVE du Mitre : CVE-2014-9904, CVE-2016-5728, CVE-2016-5828, CVE-2016-5829, CVE-2016-6130.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou à des fuites d'informations.

• CVE-2014-9904

  La fonction snd_compress_check_input utilisée dans le sous-système ALSA n'effectue pas correctement une vérification de dépassement d'entier, permettant à un utilisateur local de provoquer un déni de service.

• CVE-2016-5728

  Pengfei Wang a découvert une situation de compétition dans le pilote MIC VOP qui pourrait permettre à un utilisateur local d'obtenir des informations sensibles de la mémoire du noyau ou provoquer un déni de service.

• CVE-2016-5828

  Cyril Bur et Michael Ellerman ont découvert un défaut dans le traitement de la mémoire transactionnelle des systèmes PowerPC permettant à un utilisateur local de provoquer un déni de service (plantage du noyau) ou éventuellement un autre impact non spécifié, en démarrant une transaction, en la suspendant, puis en appelant n'importe quel appel système de type exec().

• CVE-2016-5829

  Une vulnérabilité de dépassement de tas a été découverte dans le pilote hiddev, permettant à un utilisateur local de provoquer un déni de service ou, éventuellement, une augmentation de droits.

• CVE-2016-6130

  Pengfei Wang a découvert un défaut dans les pilotes de périphérique caractère de S/390 menant éventuellement à une fuite d'informations avec /dev/sclp.

En complément, cette mise à jour corrige une régression dans la fonction ebtables (n° 828914) introduite dans DSA-3607-1.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt25-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets linux.