Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5161-1 linux

Bulletin d'alerte Debian

DSA-5161-1 linux -- Mise à jour de sécurité

Date du rapport :

11 juin 2022

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2022-0494, CVE-2022-0854, CVE-2022-1012, CVE-2022-1729, CVE-2022-1786, CVE-2022-1789, CVE-2022-1852, CVE-2022-32250, CVE-2022-1974, CVE-2022-1975, CVE-2022-2078, CVE-2022-21499, CVE-2022-28893.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation de privilèges, un déni de service ou des fuites d'informations.

• CVE-2022-0494

  La fonction scsi_ioctl() était vulnérable à une fuite d'informations uniquement exploitable par les utilisateurs dotés des capacités CAP_SYS_ADMIN ou CAP_SYS_RAWIO.

• CVE-2022-0854

  Ali Haider a découvert une potentielle fuite d'informations dans le sous-système DMA. Dans les systèmes où la fonction swiotlb est nécessaire, cela pourrait permettre à un utilisateur local de lire des informations sensibles.

• CVE-2022-1012

  La randomisation lors du calcul des décalages de port dans l'implémentation d'IP a été améliorée.

• CVE-2022-1729

  Norbert Slusarek a découvert une situation de compétition dans le sous-système perf qui pouvait avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur. Les réglages par défaut dans Debian évitent son exploitation à moins qu'une configuration plus permissive ait été appliquée dans le sysctl kernel.perf_event_paranoid.

• CVE-2022-1786

  Kyle Zeng a découvert une utilisation de mémoire après libération dans le sous-système io_uring qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur.

• CVE-2022-1789 / CVE-2022-1852

  Yongkang Jia, Gaoning Pan et Qiuhao Li ont découvert deux déréférencements de pointeur NULL dans le traitement des instructions de processeur de KVM, ayant pour conséquence un déni de service.

• CVE-2022-32250

  Aaron Adams a découvert une utilisation de mémoire après libération dans Netfilter qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur.

• CVE-2022-1974 / CVE-2022-1975

  Duoming Zhou a découvert que l'interface Netlink NFC était vulnérable à un déni de service.

• CVE-2022-2078

  Ziming Zhang a découvert une écriture hors limites dans Netfilter qui peut avoir pour conséquence une élévation locale de privilèges vers ceux du superutilisateur.

• CVE-2022-21499

  Le débogueur du noyau pouvait être utilisé pour contourner les restrictions de l'amorçage sécurisé avec UEFI (« UEFI secure boot »).

• CVE-2022-28893

  Felix Fu a découvert une utilisation de mémoire après libération dans l'implémentation du protocole Remote Procedure Call (SunRPC), qui pouvait avoir pour conséquences un déni de service ou une fuite d'informations.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 5.10.120-1.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.