Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3313-1 linux

Bulletin d'alerte Debian

DSA-3313-1 linux -- Mise à jour de sécurité

Date du rapport :

23 juillet 2015

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-3290, CVE-2015-3291, CVE-2015-4167, CVE-2015-5157, CVE-2015-5364, CVE-2015-5366.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits ou à un déni de service.

• CVE-2015-3290

  Andy Lutomirski a découvert que le noyau Linux ne gère pas correctement les NMI (interruptions non masquables) imbriquées. Un utilisateur local sans droit pourrait utiliser ce défaut pour une augmentation de droits.

• CVE-2015-3291

  Andy Lutomirski a découvert que, sous certaines conditions, un programme malveillant de l'espace utilisateur peut faire en sorte que le noyau ignore les NMI, menant à un déni de service.

• CVE-2015-4167

  Carl Henrik Lunde a découvert l'absence dans l'implémentation d'UDF d'une vérification de longueur nécessaire. Un utilisateur local qui peut monter des périphériques pourrait utiliser ce défaut pour planter le système.

• CVE-2015-5157

  Petr Matousek et Andy Lutomirski ont découvert qu'un NMI qui interrompt l'espace utilisateur et rencontre des erreurs Interrupt RETurn (IRET) est incorrectement géré. Un utilisateur local sans droit pourrait utiliser ce défaut pour un déni de service ou éventuellement pour une augmentation de droits.

• CVE-2015-5364

  Le noyau Linux ne gère pas correctement les sommes de contrôle UDP incorrectes. Un attaquant distant pourrait exploiter ce défaut pour provoquer un déni de service en inondant de paquets UDP avec une somme de contrôle incorrecte.

• CVE-2015-5366

  Le noyau Linux ne gère pas correctement les sommes de contrôle UDP incorrectes. Un attaquant distant peut provoquer un déni de service à l'encontre des applications qui utilisent epoll en injectant un seul paquet avec une somme de contrôle incorrecte.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt11-1+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.8-2 ou earlier versions.

Nous vous recommandons de mettre à jour vos paquets linux.