Bulletin d'alerte Debian

DSA-2766-1 linux-2.6 -- Augmentation de droits/déni de service/fuite d'informations

Date du rapport :

27 septembre 2013

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-2141, CVE-2013-2164, CVE-2013-2206, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2239, CVE-2013-2851, CVE-2013-2852, CVE-2013-2888, CVE-2013-2892.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, à une fuite d'informations ou à l'augmentation de droits. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

CVE-2013-2141
Emese Revfy a fourni un correctif pour une fuite d'informations dans les appels système tkill et tgkill. Un utilisateur local sur un système 64 bits pourrait obtenir l'accès à des contenus sensibles de la mémoire.
CVE-2013-2164
Jonathan Salwan a signalé une fuite d'informations dans le pilote de CD-ROM. Un utilisateur local sur un système ayant un lecteur CD-ROM défectueux pourrait obtenir l'accès à de la mémoire sensible.
CVE-2013-2206
Karl Heiss a signalé un problème dans l'implémentation SCTP de Linux. Un utilisateur distant pourrait causer un déni de service (plantage du système).
CVE-2013-2232
Dave Jones et Hannes Frederic Sowa ont résolu un problème dans le sous-système IPv6. Des utilisateurs locaux pourraient causer un déni de service en utilisant un socket AF_INET6 pour se connecter à une destination IPv4.
CVE-2013-2234
Mathias Krause a signalé une fuite de mémoire dans l'implémentation des sockets PF_KEYv2. Des utilisateurs locaux pourraient obtenir l'accès à de la mémoire sensible du noyau.
CVE-2013-2237
Nicolas Dichtel a signalé une fuite de mémoire dans l'implémentation des sockets PF_KEYv2. Des utilisateurs locaux pourraient obtenir l'accès à de la mémoire sensible du noyau.
CVE-2013-2239
Jonathan Salwan a découvert de multiples fuites de mémoire dans la variante openvz du noyau. Des utilisateurs locaux pourraient obtenir l'accès à de la mémoire sensible du noyau.
CVE-2013-2851
Kees Cook a signalé un problème dans le sous-système block. Des utilisateurs locaux ayant l'uid 0 pourraient obtenir des droits augmentés de ring 0. Ceci n'est un problème de sécurité que pour certains systèmes spécialement configurés.
CVE-2013-2852
Kees Cook a signalé un problème dans le pilote de réseau b43 pour certains périphériques sans fil Broadcom. Des utilisateurs locaux ayant l'uid 0 pourraient obtenir des droits augmentés de ring 0. Ce n'est un problème de sécurité que pour certains systèmes spécialement configurés.
CVE-2013-2888
Kees Cook a signalé un problème dans le sous-système du pilote HID. Un utilisateur local ayant la capacité d'attacher un périphérique pourrait causer un déni de service (plantage du système).
CVE-2013-2892
Kees Cook a signalé un problème dans le pilote de périphérique pantherlord HID. Des utilisateurs locaux ayant la capacité d'attacher un périphérique pourraient causer un déni de service ou éventuellement augmenter leurs droits.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.6.32-48squeeze4.

Le tableau suivant indique la liste des paquets supplémentaires qui ont été reconstruits à des fins de compatibilité ou pour tirer parti de cette mise à jour :

	Debian 6.0 (Squeeze)
user-mode-linux	2.6.32-1um-4+48squeeze4

Nous vous recommandons de mettre à jour vos paquets linux-2.6 et user-mode-linux.

Note: Debian suit avec attention tous les problèmes de sécurité connus dans chaque paquet du noyau linux pour toutes les publications bénéficiant d'une prise en charge active de la sécurité. Cependant, étant donnée la grande fréquence à laquelle des problèmes de sécurité mineurs sont découverts dans le noyau et les ressources nécessaires pour faire une mise à jour, les mises à jour pour les problèmes à faible priorité ne sont normalement pas publiées pour tous les noyaux en même temps. Elles seront plutôt publiées de façon échelonnée.