Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5191-1 linux

Bulletin d'alerte Debian

DSA-5191-1 linux -- Mise à jour de sécurité

Date du rapport :

26 juillet 2022

Paquets concernés :

linux

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-33655, CVE-2022-2318, CVE-2022-26365, CVE-2022-33740, CVE-2022-33741, CVE-2022-33742, CVE-2022-33743, CVE-2022-33744, CVE-2022-34918.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pouvaient conduire à une élévation de privilèges, un déni de service ou des fuites d'informations:

• CVE-2021-33655

  Un utilisateur doté d'un accès au pilote de tampon de trame de la console pouvait provoquer une écriture de mémoire hors limites au moyen du ioctl FBIOPUT_VSCREENINFO.

• CVE-2022-2318

  Une utilisation de mémoire après libération dans la prise en charge du protocole de radio amateur X.25 PLP (Rose) peut avoir pour conséquence un déni de service.

• CVE-2022-26365, CVE-2022-33740, CVE-2022-33741, CVE-2022-33742

  Roger Pau Monne a découvert que les frontaux de périphériques bloc et réseau paravirtuels ne mettaient pas à zéro les régions de mémoire avant de les partager avec le dorsal, ce qui peut avoir pour conséquence la divulgation d'informations. En complément, il a été découvert que la granularité de « grant table » ne permettait pas de partager des pages de moins de 4 Ko, ce qui peut aussi avoir pour conséquence la divulgation d'informations.

• CVE-2022-33743

  Jan Beulich a découvert qu'un traitement incorrect de la mémoire dans le dorsal réseau de Xen pouvait conduire à déni de service.

• CVE-2022-33744

  Oleksandr Tyshchenko a découvert que les clients Xen ARM peuvent provoquer un déni de service pour le Dom0 aux moyens de périphériques paravirtuels.

• CVE-2022-34918

  Arthur Mongodin a découvert un dépassement de tampon de tas dans le sous-système Netfilter qui peut avoir pour conséquence une élévation locale de privilèges.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 5.10.127-2.

Nous vous recommandons de mettre à jour vos paquets linux.

Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.