Bulletin d'alerte Debian

DSA-4941-1 linux -- Mise à jour de sécurité

Date du rapport :

20 juillet 2021

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2020-36311, CVE-2021-3609, CVE-2021-33909, CVE-2021-34693.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une élévation de privilèges, à un déni de service ou à des fuites d'informations.

CVE-2020-36311
Un défaut a été découvert dans le sous-système KVM pour les processeurs AMD, permettant à un attaquant de provoquer un déni de service en déclenchant la destruction d'une grande machine virtuelle SEV.
CVE-2021-3609
Norbert Slusarek a signalé une vulnérabilité de situation de compétition dans le protocole réseau BCM du bus CAN, permettant à un attaquant local d'élever ses privilèges.
CVE-2021-33909
Qualys Research Labs a découvert une vulnérabilité de conversion size_t-to-int dans la couche système de fichiers du noyau Linux. Un attaquant local non privilégié capable de créer, monter puis supprimer une structure profonde de répertoires dont la longueur totale du chemin dépasse 1 Go, peut tirer avantage de ce défaut pour une élévation de privilèges.

Vous trouverez plus de détails dans l'annonce de Qualys à l'adresse https://www.qualys.com/2021/07/20/cve-2021-33909/sequoia-local-privilege-escalation-linux.txt
CVE-2021-34693
Norbert Slusarek a découvert une fuite d'informations dans le protocole réseau BCM du bus CAN. Un attaquant local peut tirer avantage de ce défaut pour obtenir des informations sensibles à partir de la mémoire de pile du noyau.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 4.19.194-3.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.