Bulletin d'alerte Debian

DSA-5161-1 linux -- Mise à jour de sécurité

Date du rapport :
11 juin 2022
Paquets concernés :
linux
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2022-0494, CVE-2022-0854, CVE-2022-1012, CVE-2022-1729, CVE-2022-1786, CVE-2022-1789, CVE-2022-1852, CVE-2022-32250, CVE-2022-1972, CVE-2022-1974, CVE-2022-1975, CVE-2022-21499, CVE-2022-28893.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation de privilèges, un déni de service ou des fuites d'informations.

  • CVE-2022-0494

    La fonction scsi_ioctl() était vulnérable à une fuite d'informations uniquement exploitable par les utilisateurs dotés des capacités CAP_SYS_ADMIN ou CAP_SYS_RAWIO.

  • CVE-2022-0854

    Ali Haider a découvert une potentielle fuite d'informations dans le sous-système DMA. Dans les systèmes où la fonction swiotlb est nécessaire, cela pourrait permettre à un utilisateur local de lire des informations sensibles.

  • CVE-2022-1012

    La randomisation lors du calcul des décalages de port dans l'implémentation d'IP a été améliorée.

  • CVE-2022-1729

    Norbert Slusarek a découvert une situation de compétition dans le sous-système perf qui pouvait avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur. Les réglages par défaut dans Debian évitent son exploitation à moins qu'une configuration plus permissive ait été appliquée dans le sysctl kernel.perf_event_paranoid.

  • CVE-2022-1786

    Kyle Zeng a découvert une utilisation de mémoire après libération dans le sous-système io_uring qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur.

  • CVE-2022-1789 / CVE-2022-1852

    Yongkang Jia, Gaoning Pan et Qiuhao Li ont découvert deux déréférencements de pointeur NULL dans le traitement des instructions de processeur de KVM, ayant pour conséquence un déni de service.

  • CVE-2022-32250

    Aaron Adams a découvert une utilisation de mémoire après libération dans Netfilter qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur.

  • CVE-2022-1972

    Ziming Zhang a découvert une écriture hors limites dans Netfilter qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur.

  • CVE-2022-1974 / CVE-2022-1975

    Duoming Zhou a découvert que l'interface Netlink NFC était vulnérable à un déni de service.

  • CVE-2022-21499

    Le débogueur du noyau pouvait être utilisé pour contourner les restrictions de l'amorçage sécurisé avec UEFI (« UEFI secure boot »).

  • CVE-2022-28893

    Felix Fu a découvert une utilisation de mémoire après libération dans l'implémentation du protocole Remote Procedure Call (SunRPC), qui pouvait avoir pour conséquences un déni de service ou une fuite d'informations.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 5.10.120-1.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.