Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5092-1 linux

Bulletin d'alerte Debian

DSA-5092-1 linux -- Mise à jour de sécurité

Date du rapport :

7 mars 2022

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-43976, CVE-2022-0330, CVE-2022-0435, CVE-2022-0516, CVE-2022-0847, CVE-2022-22942, CVE-2022-24448, CVE-2022-24959, CVE-2022-25258, CVE-2022-25375.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation de privilèges, un déni de service ou à des fuites d'informations.

• CVE-2021-43976

  Zekun Shen et Brendan Dolan-Gavitt ont découvert un défaut dans la fonction mwifiex_usb_recv() du pilote USB WiFi-Ex de Marvell. Un attaquant capable de se connecter à un périphérique USB contrefait pouvait tirer avantage de ce défaut pour provoquer un déni de service.

• CVE-2022-0330

  Sushma Venkatesh Reddy a découvert une absence de vidage de TLB du GPU dans le pilote i915, ayant pour conséquences un déni de service ou une élévation de privilèges.

• CVE-2022-0435

  Samuel Page et Eric Dumazet ont signalé un dépassement de pile dans le module réseau pour le protocole TIPC (Transparent Inter-Process Communication), ayant pour conséquences un déni de service ou éventuellement l'exécution de code arbitraire.

• CVE-2022-0516

  Une vérification insuffisante dans le sous-système KVM pour s390x pouvait permettre un accès non autorisé à la mémoire en lecture ou en écriture.

• CVE-2022-0847

  Max Kellermann a découvert un défaut dans les attributs de traitement de tampon de tube. Un attaquant pouvait tirer avantage de ce défaut pour une élévation locale de privilèges.

• CVE-2022-22942

  Le mauvais traitement du descripteur de fichier dans le pilote de GPU virtuel de VMware (vmwgfx) pouvait avoir pour conséquences une fuite d'informations ou une élévation de privilèges.

• CVE-2022-24448

  Lyu Tao a signalé un défaut dans l'implémentation de NFS dans le noyau Linux lors du traitement de requêtes pour ouvrir un répertoire sur un fichier ordinaire, qui pouvait avoir pour conséquence une fuite d'informations.

• CVE-2022-24959

  Une fuite de mémoire a été découverte dans la fonction yam_siocdevprivate() du pilote YAM pour AX.25, qui pouvait avoir pour conséquence un déni de service.

• CVE-2022-25258

  Szymon Heidrich a signalé que le sous-système USB Gadget manque de certaines validations des requêtes du descripteur d'OS de l'interface, avec pour conséquence une corruption de mémoire.

• CVE-2022-25375

  Szymon Heidrich a signalé que le gadget USB RNDIS manque de validation de la taille de la commande RNDIS_MSG_SET, avec pour conséquence une fuite d'informations à partir de la mémoire du noyau.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 5.10.92-2.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.