Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3448-1 linux

Bulletin d'alerte Debian

DSA-3448-1 linux -- Mise à jour de sécurité

Date du rapport :

19 janvier 2016

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-4312, CVE-2015-7566, CVE-2015-8767, CVE-2016-0723, CVE-2016-0728.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits ou à un déni de service.

• CVE-2013-4312

  Tetsuo Handa a découvert qu'il était possible pour un processus d'ouvrir beaucoup plus de fichiers que la limite du processus, ce qui mène à des conditions de déni de service.

• CVE-2015-7566

  Ralf Spenneberg d'OpenSource Security a signalé que le pilote visor plante lorsqu'un périphérique USB contrefait pour l'occasion, sans terminaison de sortie « bulk », est détecté.

• CVE-2015-8767

  Un déni de service de SCTP a été découvert qui peut être déclenché par un attaquant local durant un événement de « Heartbeat Timeout » après une initialisation de connexion de type « 4-way ».

• CVE-2016-0723

  Une vulnérabilité d'utilisation de mémoire après libération a été découverte dans le ioctl TIOCGETD. Un attaquant local pourrait utiliser ce défaut pour un déni de service.

• CVE-2016-0728

  L'équipe de recherche Perception Point a découvert une vulnérabilité d'utilisation de mémoire après libération dans la fonction de trousseau, menant éventuellement à une augmentation de droits locale.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.16.7-ckt20-1+deb8u3.

Nous vous recommandons de mettre à jour vos paquets linux.