Bulletin d'alerte Debian

DSA-4196-1 linux -- Mise à jour de sécurité

Date du rapport :
8 mai 2018
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 897427, Bogue 897599, Bogue 898067, Bogue 898100.
Dans le dictionnaire CVE du Mitre : CVE-2018-1087, CVE-2018-8897.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits ou à un déni de service.

  • CVE-2018-1087

    Andy Lutomirski a découvert que l'implémentation de KVM ne gérait pas correctement les exceptions #DB tant qu'elles étaient différées par MOV SS ou POP SS, permettant à un utilisateur non privilégié de client KVM de planter le client ou éventuellement d'augmenter ses droits.

  • CVE-2018-8897

    Nick Peterson de Everdox Tech LLC a découvert que les exceptions #DB qui étaient différées par MOV SS ou POP SS n'étaient pas correctement gérées, permettant à un utilisateur non privilégié de planter le noyau et de provoquer un déni de service.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 3.16.56-1+deb8u1. Cette mise à jour comprend aussi divers correctifs pour des régressions de 3.16.56-1 tel que publié dans DSA-4187-1 (cf. bogues n° 897427, n° 898067 et n° 898100).

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.9.88-1+deb9u1. Le correctif pour CVE-2018-1108, appliqué dans DSA-4188-1, est temporairement retiré à cause de diverses régressions, cf. bogue n° 897599.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.