Bulletin d'alerte Debian

DSA-4078-1 linux -- Mise à jour de sécurité

Date du rapport :
4 janvier 2018
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-5754.
Plus de précisions :

Plusieurs chercheurs ont découvert une vulnérabilité dans les processeurs Intel, permettant à un attaquant contrôlant un processus non privilégié de lire la mémoire à partir d'adresses arbitraires, y compris à partir du noyau et de tous les autres processus en cours d’exécution sur le système.

Cette attaque particulière a été appelée Meltdown et est traitée dans le noyau Linux pour l'architecture Intel x86-64 par un ensemble de correctifs nommés « Kernel Page Table Isolation », imposant une séparation presque complète entre les mappages d'adresses du noyau et de l'espace utilisateur et empêchant l'attaque. Cette solution peut avoir un impact en termes de performance, et elle peut être désactivée lors de l'amorçage en passant le code pti=off sur la ligne de commande du noyau.

Nous avons aussi identifié une régression pour d'anciens espaces utilisateur utilisant l'interface vsyscall, par exemple un chroot et des conteneurs utilisant (e)glibc 2.13 et antérieurs, y compris ceux basés sur Debian 7 ou RHEL/CentOS 6. Cette régression sera corrigée dans une mise à jour ultérieure.

Les autres vulnérabilités (nommées Spectre) publiées en même temps ne sont pas traitées dans cette mise à jour et seront corrigées dans une mise à jour ultérieure.

Pour la distribution oldstable (Jessie), ce problème sera corrigé dans une mise à jour séparée.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 4.9.65-3+deb9u2.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux