Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3659-1 linux

Bulletin d'alerte Debian

DSA-3659-1 linux -- Mise à jour de sécurité

Date du rapport :

4 septembre 2016

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-5696, CVE-2016-6136, CVE-2016-6480, CVE-2016-6828.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou avoir d'autres impacts.

• CVE-2016-5696

  Yue Cao, Zhiyun Qian, Zhongjie Wang, Tuan Dao et Srikanth V. Krishnamurthy de l'université de Californie, à Riverside, et Lisa M. Marvel du laboratoire de recherche de l'armée des États-Unis ont découvert que l'implémentation de Linux de la fonctionnalité Challenge ACK de TCP a pour conséquence une attaque par canal auxiliaire qui peut être utilisée pour découvrir des connexions TCP entre des adresses IP spécifiques et pour injecter des messages dans ces connexions.

  Lorsqu'un service est rendu disponible par TCP, cela peut permettre à des attaquants distants de se faire passer pour un autre utilisateur connecté au serveur, ou pour le serveur pour un autre utilisateur connecté. Dans le cas où le service utilise un protocole avec authentification de message (par exemple TLS ou SSH), cette vulnérabilité permet seulement un déni de service (échec de connexion). Une attaque prend des dizaines de secondes, aussi il est peu probable que des connexions TCP de courte durée soient aussi vulnérables.

  Ce problème peut être atténué en augmentant la limite de débit pour les Challenge ACK de TCP pour qu'elle ne soit jamais dépassée : sysctl net.ipv4.tcp_challenge_ack_limit=1000000000

• CVE-2016-6136

  Pengfei Wang a découvert que le sous-système audit avait un bogue de type double fetch ou TOCTTOU dans son traitement des caractères spéciaux dans le nom d'un exécutable. Quand la journalisation par audit de execve() est activée, cela permet à un utilisateur local de générer des messages de journal trompeurs.

• CVE-2016-6480

  Pengfei Wang a découvert que le pilote aacraid pour les contrôleurs RAID d'Adaptec avait un bogue de type double fetch ou TOCTTOU dans sa validation des messages FIB passés au travers de l'appel système ioctl(). Cela n'a pas d'impact de sécurité pratique dans les versions actuelles de Debian.

• CVE-2016-6828

  Marco Grassi a signalé un bogue d'utilisation de mémoire après libération dans l'implémentation de TCP qui peut être déclenché par des utilisateurs locaux. Son impact sur la sécurité n'est pas clair, mais il pourrait inclure un déni de service ou une augmentation de droits.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.36-1+deb8u1. En complément, cette mise à jour contient des modifications prévues à l'origine pour la prochaine version intermédiaire de Jessie.

Nous vous recommandons de mettre à jour vos paquets linux.