Informations de sécurité / 2023 / Informations sur la sécurité -- DSA-5475-1 linux

Bulletin d'alerte Debian

DSA-5475-1 linux -- Mise à jour de sécurité

Date du rapport :

11 août 2023

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-40982, CVE-2023-20569.

Plus de précisions :

• CVE-2022-40982

  Daniel Moghimi a découvert la faille « Gather Data Sampling » (GDS), une vulnérabilité matérielle pour les processeurs Intel qui permettait un accès spéculatif non privilégié à des données qui étaient précédemment stockées dans les registres de vecteurs.

  Cette mitigation a besoin du microcode mis à jour du processeur fournit dans le paquet intel-microcode.

  Pour plus de détails, veuillez vous référer aux pages https://downfall.page/ et https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/technical-documentation/gather-data-sampling.html.

• CVE-2023-20569

  Daniel Trujillo, Johannes Wikner et Kaveh Razavi ont découvert la faille INCEPTION, connue également sous le nom de « Speculative Return Stack Overflow » (SRSO), une attaque par exécution transitoire qui divulgue des données arbitraires sur tous les processeurs Zen d'AMD. Un attaquant peut apprendre de façon erronée au « Branch Target Buffer » (BTB) du processeur à prédire des instructions CALL non liées à l'architecture dans l'espace du noyau et utiliser cela pour contrôler la cible spéculative d'une instruction subséquente RET du noyau, menant éventuellement à la divulgation d'informations à l'aide d'une attaque spéculative par canal auxiliaire.

  Pour plus de détails, veuillez vous référer aux pages https://comsec.ethz.ch/research/microarch/inception/ et https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-7005.

Pour la distribution oldstable (Bullseye), ces problèmes ont été corrigés dans la version 5.10.179-5.

Pour la distribution stable (Bookworm), ces problèmes ont été corrigés dans la version 6.1.38-4.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.