Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4266-1 linux

Bulletin d'alerte Debian

DSA-4266-1 linux -- Mise à jour de sécurité

Date du rapport :

6 août 2018

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-5390, CVE-2018-13405.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits ou un déni de service.

• CVE-2018-5390

  Juha-Matti Tilli a découvert qu'un attaquant distant peut déclencher les pires chemins de code pour le réassemblement d'un flux TCP avec un faible débit de paquets contrefaits pour l'occasion, menant à un déni de service distant.

• CVE-2018-13405

  Jann Horn a découvert que la fonction inode_init_owner de fs/inode.c dans le noyau Linux permet à des utilisateurs locaux de créer des fichiers avec la propriété d'un groupe non prévu permettant à des attaquants d'augmenter leurs droits en rendant un simple fichier exécutable et SGID.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.9.110-3+deb9u1. Cette mise à jour comprend des correctifs pour plusieurs régressions de la dernière version intermédiaire.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.