Bulletin d'alerte Debian
DSA-3290-1 linux -- Mise à jour de sécurité
- Date du rapport :
- 18 juin 2015
- Paquets concernés :
- linux
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-1805, CVE-2015-3636, CVE-2015-4167.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service, des fuites d'informations ou à la corruption de données.
- CVE-2015-1805
Red Hat a découvert que les implémentations en lecture et en écriture du tube iovec peuvent faire deux itérations sur le vecteur iovec mais modifieront le vecteur iovec si bien que la seconde itération accède à une adresse mémoire erronée. Un utilisateur local pourrait utiliser ce défaut pour planter le système ou éventuellement pour augmenter ses droits. Cela peut aussi avoir pour conséquence une corruption de données et des fuites d'informations dans des tubes entre des processus non malveillants.
- CVE-2015-3636
Wen Xu et wushi de KeenTeam ont découvert que des utilisateurs autorisés à créer des sockets ping peuvent les utiliser pour planter le système et, sur les architectures 32 bits, augmenter leurs droits. Cependant, par défaut, aucun utilisateur sur un système Debian n'a accès aux sockets ping.
- CVE-2015-4167
Carl Henrik Lunde a découvert une absence des vérifications de longueur nécessaires dans l'implémentation d'UDF. Un utilisateur local qui peut monter des périphériques pourrait utiliser ce défaut pour planter le système.
Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.2.68-1+deb7u2.
Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans les versions 3.16.7-ckt11-1 ou suivantes, sauf pour CVE-2015-4167 qui sera corrigé ultérieurement.
Nous vous recommandons de mettre à jour vos paquets linux.
- CVE-2015-1805