Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-3070-1 kfreebsd-9

Bulletin d'alerte Debian

DSA-3070-1 kfreebsd-9 -- Mise à jour de sécurité

Date du rapport :

7 novembre 2014

Paquets concernés :

kfreebsd-9

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-3711, CVE-2014-3952, CVE-2014-3953, CVE-2014-8476.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau FreeBSD qui pourraient conduire à un déni de service ou à la divulgation d'informations.

• CVE-2014-3711

  Déni de service à travers une fuite de mémoire lors de commandes namei dans un bac à sable.

• CVE-2014-3952

  Divulgation de mémoire du noyau dans les messages de contrôle sockbuf.

• CVE-2014-3953

  Divulgation de mémoire du noyau dans SCTP. Cette mise à jour désactive SCTP, puisque les outils en espace utilisateur livrés dans Wheezy ne prennent pas SCTP en charge de toute façon.

• CVE-2014-8476

  Divulgation de la pile du noyau dans setlogin() et getlogin().

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 9.0-10+deb70.8.

Nous vous recommandons de mettre à jour vos paquets kfreebsd-9.