Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4564-1 linux

Bulletin d'alerte Debian

DSA-4564-1 linux -- Mise à jour de sécurité

Date du rapport :

12 novembre 2019

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-12207, CVE-2019-0154, CVE-2019-0155, CVE-2019-11135.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation des privilèges, un déni de service, ou une fuite d'informations.

• CVE-2018-12207

  Sur les processeurs Intel prenant en charge la virtualisation matérielle avec des tables de pagination (« Extended Page Tables » – EPT), une machine virtuelle peut manipuler la gestion de mémoire matérielle pour provoquer une erreur de « Machine Check » (MCE) et un déni de service (blocage ou plantage).

  Le client déclenche cette erreur en modifiant les tables de pagination sans vidage de la TLB, si bien qu'à la fois des entrées de 4 Ko et 2 Mo sont chargées pour la même adresse virtuelle dans l'instruction TLB (iTLB). Cette mise à jour implémente une mitigation dans KVM qui empêche les machines virtuelles clientes de charger des entrées de 2 Mo dans iTLB. Cela réduira la performance des machines virtuelles clientes.

  Plus d'informations sur la mitigation sont disponibles sur la page https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/multihit.html dans les paquet linux-doc-4.9 ou linux-doc-4.19.

  Une mise à jour de qemu, ajoutant la prise en charge de la fonctionnalité PSCHANGE_MC_NO qui permet de désactiver les mitigations iTLB Multihit dans les hyperviseurs imbriqués, sera fournie par la DSA 4566-1.

  L'explication par Intel de ce problème est disponible sur la page https://software.intel.com/security-software-guidance/insights/deep-dive-machine-check-error-avoidance-page-size-change-0.

• CVE-2019-0154

  Intel a découvert que leurs processeurs graphiques de huitième et neuvième génération, lorsqu'ils lisent certains registres tandis que le processeur graphique est dans un état de faible puissance, peuvent provoquer un blocage système. Un utilisateur local autorisé à utiliser le processeur graphique peut se servir de cela pour un déni de service.

  Cette mise à jour atténue le problème grâce à des modifications dans le pilote des cartes graphiques i915.

  Les puces affectées (de huitième et neuvième génération) sont listées sur la page https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen8.

• CVE-2019-0155

  Intel a découvert que les processeurs graphiques de neuvième génération et plus récents manquent de vérification de sécurité dans le « Blitter Command Streamer » (BCS). Un utilisateur local autorisé à utiliser le processeur graphique pourrait se servir de cela pour accéder à toute la mémoire à laquelle le processeur graphique a accès, ce qui pourrait avoir pour conséquence un déni de service (corruption de mémoire ou plantage), la divulgation d'informations sensible ou une élévation des privilèges.

  Cette mise à jour atténue le problème en ajoutant une vérification de sécurité au pilote i915.

  Les puces affectées (à partir de la neuvième génération) sont listées sur la page https://en.wikipedia.org/wiki/List_of_Intel_graphics_processing_units#Gen9.

• CVE-2019-11135

  Sur les processeurs Intel prenant en charge la mémoire transactionnelle (TSX), une transaction qui va être interrompue peut être poursuivie pour une exécution spéculative, lisant des données sensibles à partir des tampons internes et les divulguant à travers les opérations dépendantes. Intel appelle cela TSX Asynchronous Abort (TAA).

  Pour les processeurs affectés par les problèmes «  Microarchitectural Data Sampling (MDS) » précédemment publiés (CVE-2018-12126, CVE-2018-12127, CVE-2018-12130, CVE-2019-11091), la mitigation existante atténue aussi ce problème.

  Pour les processeurs qui sont vulnérables aux TAA mais pas aux MDS, cette mise à jour désactive TSX par défaut. Cette mitigation requiert un microcode mis à jour du processeur. Un paquet mis à jour du paquet intel-microcode (disponible seulement dans Debian non-free) sera fournit au moyen de la DSA 4565-1. Le microcode mis à jour du processeur peut aussi être disponible dans le cadre de la mise à jour du microprogramme du système (« BIOS »).

  Plus d'informations sur la mitigation sont disponibles sur la page https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/tsx_async_abort.html ou dans les paquets linux-doc-4.9 ou linux-doc-4.19.

  L'explication par Intel de ce problème est disponible sur la page https://software.intel.com/security-software-guidance/insights/deep-dive-intel-transactional-synchronization-extensions-intel-tsx-asynchronous-abort.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 4.9.189-3+deb9u2.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.19.67-2+deb10u2.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.