Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2926-1 linux

Bulletin d'alerte Debian

DSA-2926-1 linux -- Mise à jour de sécurité

Date du rapport :

12 mai 2014

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0196, CVE-2014-1737, CVE-2014-1738, CVE-2014-2851, CVE-2014-3122.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à un déni de service, à des fuites d'informations ou à une augmentation de droits :

• CVE-2014-0196

  Jiri Slaby a découvert une situation de compétition dans la couche du pseudo-terminal qui pourrait conduire à un déni de service ou à une augmentation de droits.

• CVE-2014-1737 / CVE-2014-1738

  Matthew Daley a découvert que l'absence de vérification des entrées dans le contrôle d'entrées/sorties FDRAWCMD et une fuite d'information pourraient se traduire en une augmentation de droits.

• CVE-2014-2851

  Un comptage de références incorrect dans la fonction ping_init_sock() permet un déni de service ou une augmentation de droits.

• CVE-2014-3122

  Un verrouillage incorrect de la mémoire peut se traduire en un déni de service local.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.57-3+deb7u1. Cette mise à jour corrige aussi une régression dans le pilote isci et des problèmes d'arrêt avec certains processeurs AMD (introduits dans le noyau mis à jour dans la version intermédiaire de Wheezy 7.5).

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets linux.