Bulletin d'alerte Debian

DSA-4444-1 linux -- Mise à jour de sécurité

Date du rapport :
14 mai 2019
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 928125.
Dans le dictionnaire CVE du Mitre : CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091.
Plus de précisions :

Plusieurs chercheurs ont découvert des vulnérabilités dans la manière dont la conception des processeurs Intel a implémenté la transmission spéculative de données chargées dans des structures microarchitecturales temporaires (tampons). Ce défaut pourrait permettre à un attaquant contrôlant un processus non privilégié de lire des informations sensibles, y compris à partir du noyau et de tous les autres processus exécutés sur le système ou à travers les limites clients/hôtes pour lire la mémoire de l'hôte.

Voir https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/mds.html pour plus de détails.

Pour résoudre complètement ces vulnérabilités il est également nécessaire d'installer le microcode du processeur mis à jour. Un paquet du microcode d'Intel mis à jour (seulement disponible dans Debian non-free) sera fourni à l'aide d'une annonce de sécurité particulière. Le microcode du processeur mis à jour peut aussi être disponible dans le cadre d'une mise à jour du microprogramme système (« BIOS »).

En complément, cette mise à jour fournit un correctif pour une régression provoquant des blocages dans le pilote du service loopback, introduite dans la mise à jour vers 4.9.168 dans la dernière version intermédiaire de Stretch.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.9.168-1+deb9u2.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.