Aviso de seguridad de Debian

DSA-4279-1 linux -- actualización de seguridad

Fecha del informe:
20 de ago de 2018
Paquetes afectados:
linux
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2018-3620, CVE-2018-3646.
Información adicional:

Múltiples investigadores han descubierto una vulnerabilidad en la manera en la que ha sido implementada la ejecución especulativa de instrucciones, en combinación con la gestión de las faltas de página, en los procesadores Intel. Este defecto podría permitir que un atacante que controle un proceso sin privilegios lea memoria de direcciones arbitrarias (no controladas por el usuario), incluyendo memoria del kernel y de todos los demás procesos en ejecución en el sistema, o que cruce los límites huésped/anfitrión para leer memoria del anfitrión.

Para resolver estas vulnerabilidades completamente, también es necesario instalar microcódigo de CPU actualizado (disponible únicamente en Debian non-free). Las CPU comunes de categoría servidor («servidor class») están cubiertas por la actualización publicada como DSA 4273-1.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 4.9.110-3+deb9u3.

Le recomendamos que actualice los paquetes de linux.

Para información detallada sobre el estado de seguridad de linux consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/linux