Les utilisateurs de Debian GNU/Linux 11 reçoivent une mise à jour massive de la sécurité du noyau Linux, patch maintenant

Le projet Debian a publié cette semaine une mise à jour de sécurité massive du noyau Linux pour sa série de systèmes d’exploitation Debian GNU/Linux 11 “Bullseye” afin de résoudre 19 vulnérabilités de sécurité découvertes par divers chercheurs en sécurité dans le noyau Linux 5.10 LTS en amont, ce qui peut conduire à une élévation des privilèges, déni de service ou fuite d’informations.

Patché dans cette nouvelle mise à jour de sécurité du noyau Linux pour Debian GNU/Linux 11il y a CVE-2021-4197, une vulnérabilité de sécurité signalée par Eric Biederman dans l’implémentation de la migration des processus de groupe de contrôle, qui pourrait permettre à un attaquant local d’élever les privilèges, ainsi que CVE-2022-0168, une faille de déréférencement de pointeur NULL trouvée dans le CIFS implémentation client, qui peut permettre à un attaquant local disposant des privilèges CAP_SYS_ADMIN de planter le système.

Sont également corrigés CVE-2022-1016, une faille découverte par David Bouman dans le sous-système netfilter, qui pourrait permettre à un attaquant local de lire des informations sensibles, CVE-2022-1048, une condition de concurrence découverte par Hu Jiahui dans le sous-système audio, qui pourrait permettre à un utilisateur local ayant accès à un périphérique audio PCM de planter le système ou d’élever les privilèges, ainsi que CVE-2022-1195 et CVE-2022-1198, conditions de concurrence découvertes par Lin Ma et Duoming Zhou dans le 6pack et le radioamateur mkiss pilotes, ce qui pourrait conduire à un use-after-free et permettre à un utilisateur local de provoquer un déni de service (corruption de mémoire ou plantage) ou d’élever ses privilèges.

La nouvelle mise à jour de sécurité du noyau Debian GNU/Linux 11 corrige un bogue découvert par Qiuhao Li, Gaoning Pan et Yongkang Jia dans l’implémentation KVM pour les processeurs x86, CVE-2022-1158, censé permettre à un utilisateur local d’accéder à / dev/kvm pour que l’émulateur MMU mette à jour les indicateurs d’entrée de la table des pages à la mauvaise adresse, ce qui pourrait être utilisé pour l’élévation des privilèges ou le déni de service (corruption de la mémoire ou plantage).

Parmi les autres correctifs de sécurité notables inclus dans cette mise à jour, il existe des correctifs pour CVE-2022-28388, CVE-2022-28389 et CVE-2022-28390, trois vulnérabilités double-free trouvées dans les 8 appareils USB2CAN, Microchip CAN BUS Analyzer, et les pilotes d’interface CAN/USB CPC-USB/ARM7 EMS, les conditions de concurrence CVE-2022-1199, CVE-2022-1204 et CVE-2022-1205 découvertes par Duoming Zhou dans le protocole radioamateur AX.25, qui pourraient permettre un utilisateur local pour provoquer un déni de service (corruption de mémoire ou plantage) ou élever ses privilèges, et CVE-2022-28356, une faille découverte par Beraphin dans le pilote ANSI/IEEE 802.2 LLC type 2, qui pourrait permettre à un attaquant local de provoquer un déni ou service.

Le débordement de tampon CVE-2022-26490 découvert dans le pilote principal ST21NFCA de STMicroelectronics a également été corrigé dans cette nouvelle mise à jour de sécurité du noyau Linux pour Debian Bullseye, ce qui pourrait entraîner un déni de service ou une élévation des privilèges, et le pointeur NULL CVE-2022-1516 faille de déréférencement découverte dans l’implémentation du protocole réseau X.25, pouvant entraîner un déni de service. Cependant, le projet Debian note le fait que ces pilotes ne sont pas activés dans les configurations officielles du noyau de Debian.

Il convient également de mentionner CVE-2022-29582, une vulnérabilité utilisateur après libération découverte par Jayden Rivers et David Bouman dans le sous-système io_uring, qui pourrait permettre à un utilisateur local non privilégié d’élever ses privilèges, ainsi que CVE-2022-27666, une débordement de tampon possible signalé par “valis” dans le code de transformation IPsec ESP qui pourrait permettre à un utilisateur local de provoquer un déni de service ou d’élever ses privilèges.

Enfin, la nouvelle mise à jour de sécurité du noyau Debian GNU/Linux 11 « Bullseye » corrige CVE-2022-1353, une faille de fuite d’informations trouvée avec l’outil TCS Robot dans le sous-système PF_KEY, qui pourrait permettre à un utilisateur local non privilégié d’y accéder. à la mémoire du noyau, entraînant un plantage du système ou une fuite d’informations internes au noyau.

Toutes ces vulnérabilités sont désormais corrigées dans la mise à jour du noyau Linux 5.10.113-1 pour la série de systèmes d’exploitation Debian GNU/Linux 11. Par conséquent, le projet Debian exhorte tous les utilisateurs à mettre à jour leurs installations vers la nouvelle version du noyau dès que possible et à effectuer un redémarrage. Pour mettre à jour vos installations Debian Bullseye, exécutez le sudo apt update && sudo apt full-upgrade commande dans un émulateur de terminal.

Crédits image : Debian Project (édité par Marius Nestor)

Dernière mise à jour il y a 2 mois