Bulletin d'alerte Debian
DSA-4313-1 linux -- Mise à jour de sécurité
- Date du rapport :
- 8 octobre 2018
- Paquets concernés :
- linux
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2018-15471, CVE-2018-18021.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans le noyau Linux qui pourraient conduire à une augmentation de droits, un déni de service ou des fuites d'informations.
- CVE-2018-15471 (XSA-270)
Felix Wilhelm de Google Project Zero a découvert un défaut dans le traitement du hachage dans le module xen-netback du noyau Linux. Une interface malveillante ou boguée peut entraîner le moteur (habituellement privilégié) à réaliser des accès mémoire hors limites, avec éventuellement pour conséquence une augmentation de droits, un déni de service ou des fuites d'informations.
- CVE-2018-18021
Le sous-système KVM sur la plate-forme arm64 ne gère pas correctement l'ioctl KVM_SET_ON_REG. Un attaquant capable de créer des machines virtuelles basées sur KVM peut tirer avantage de ce défaut pour provoquer un déni de service (panique de l'hyperviseur) ou une augmentation de droits (redirection arbitraire du flux de contrôle de l'hyperviseur avec un contrôle complet du registre).
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.9.110-3+deb9u6.
Nous vous recommandons de mettre à jour vos paquets linux.
Pour disposer d'un état détaillé sur la sécurité de linux, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/linux.
- CVE-2018-15471 (XSA-270)