Informations de sécurité / 2023 / Informations sur la sécurité -- DSA-5402-1 linux

Bulletin d'alerte Debian

DSA-5402-1 linux -- Mise à jour de sécurité

Date du rapport :

13 mai 2023

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2023-0386, CVE-2023-31436, CVE-2023-32233.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation de privilèges, un déni de service ou des fuites d'informations.

• CVE-2023-0386

  Dans certaines conditions, l'implémentation du système de fichiers OverlayFS ne gérait pas correctement les opérations copy up. Un utilisateur local autorisé à effectuer des montages overlay dans les espaces de noms de l'utilisateur pouvait tirer avantage de ce défaut pour une élévation locale de privilèges.

• CVE-2023-31436

  Gwangun Jung a signalé un défaut provoquant des erreurs de lecture/écriture de tas hors limites dans le sous-système de contrôle de trafic de l'ordonnanceur Quick Fair Queueing (QFQ), ce qui pouvait avoir pour conséquences une fuite d'informations, un déni de service ou une élévation de privilèges.

• CVE-2023-32233

  Patryk Sondej et Piotr Krysiuk ont découvert un défaut d'utilisation de mémoire après libération dans l'implémentation de Netfilter nf_tables lors du traitement de requêtes par lot, ce qui pouvait avoir pour conséquences une élévation locale de privilèges pour un utilisateur doté de la capacité CAP_NET_ADMIN dans n'importe quel espace de noms utilisateur ou réseau.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 5.10.179-1.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.