Informations de sécurité / 2020 / Informations sur la sécurité -- DSA-4667-1 linux

Bulletin d'alerte Debian

DSA-4667-1 linux -- Mise à jour de sécurité

Date du rapport :

28 avril 2020

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-2732, CVE-2020-8428, CVE-2020-10942, CVE-2020-11565, CVE-2020-11884.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation de privilèges, un déni de service, ou une fuite d'informations.

• CVE-2020-2732

  Paulo Bonzini a découvert que l'implémentation de KVM pour les processeurs Intel ne gérait pas correctement l'émulation d'instruction pour des clients L2 quand la virtualisation imbriquée est activée. Cela pourrait permettre à un client L2 de provoquer une élévation de privilèges, un déni de service, ou des fuites d'informations dans le client L1.

• CVE-2020-8428

  Al Viro a découvert une vulnérabilité d'utilisation de mémoire après libération dans la couche VFS. Cela permettait à des utilisateurs locaux de provoquer un déni de service (plantage) ou d'obtenir des informations sensibles à partir de la mémoire du noyau.

• CVE-2020-10942

  Le pilote vhost_net ne validait pas correctement le type des sockets configurés comme « backend ». Un utilisateur local autorisé à accéder à /dev/vhost-net pourrait utiliser cela pour provoquer une corruption de pile au moyen d'appels système contrefaits, avec pour conséquence un déni de service (plantage) ou éventuellement une élévation de privilèges.

• CVE-2020-11565

  Entropy Moe a signalé que le système de fichiers de la mémoire partagée (tmpfs) ne gérait pas correctement une option de montage mpol en indiquant une liste de nœuds vide, menant à une écriture de pile hors limites. Si les espaces de noms utilisateur sont activés, un utilisateur local pourrait utiliser cela pour provoquer un déni de service (plantage) ou éventuellement pour une élévation de privilèges.

• CVE-2020-11884

  Al Viro a signalé une situation de compétition dans le code de gestion de mémoire pour IBM Z (architecture s390x) qui peut avoir pour conséquence l'exécution de code par le noyau à partir de l'espace d'adresses utilisateur. Un utilisateur local pourrait utiliser cela pour une élévation de privilèges.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.19.98-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.