Bulletin d'alerte Debian

DSA-4279-1 linux -- Mise à jour de sécurité

Date du rapport :
20 août 2018
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-3620, CVE-2018-3646.
Plus de précisions :

Plusieurs chercheurs ont découvert une vulnérabilité dans la manière dont la conception des processeurs Intel a implémenté l'exécution spéculative des instructions en combinaison avec le traitement des erreurs de page. Ce défaut pourrait permettre à un attaquant contrôlant un processus non privilégié de lire la mémoire à partir d'adresses arbitraires (non contrôlées par l'utilisateur), y compris à partir du noyau et de tous les autres processus exécutés sur le système ou à travers les limites clients/hôtes pour lire la mémoire de l'hôte.

Pour résoudre complètement ces vulnérabilités, il est aussi nécessaire d'installer le microcode du processeur (seulement disponible dans Debian non-free). Les processeurs courants de classe serveur sont couverts avec la version mise à jour dans DSA 4273-1.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.9.110-3+deb9u3.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.