[gull] Fwd: [SECURITY] [DSA 5257-1] linux security update
Marc SCHAEFER
schaefer at alphanet.ch
Wed Oct 19 09:12:38 CEST 2022
On Wed, Oct 19, 2022 at 08:23:51AM +0200, Concombre Masqué via gull wrote:
> Suffisamment importante pour justifier un fwd. à la liste du GULL.
Vraiment?
La dangerosité d'une vulnérabilité dépend fortement de l'usage que l'on
fait de son système.
Evidemment, il faut faire toutes les mises à jour, mais pas forcément
besoin de les faire tout de suite:
> CVE-2021-4037
pas d'usage d'XFS, pas de souci.
attaque locale seulement.
> CVE-2022-0171
uniquement si kvm utilisé, et c'est un DoS.
> CVE-2022-1184
attaque locale sur ext4, plutôt crash, éventuellement plus.
> CVE-2022-2602
attaque socket locale
> CVE-2022-2663
celle-là est ennuyeuse si IRC est utilisé *et* que le module
nf_conntrack_irc est utilisé sur un routeur/NAT, vu que cela
permet d'ouvrir des ports arbitraires, notamment.
> CVE-2022-3061
pas activé sur Debian, pas vulnérable si l'utilisateur n'a pas
configuré spécialement et recompilé son propre kernel.
> CVE-2022-3176
local
> CVE-2022-3303
DoS local
> CVE-2022-20421
uniquement contexte Android, local
> CVE-2022-39188
local, DoS voire plus
> CVE-2022-39842
pas activé sur Debian, pas vulnérable si l'utilisateur n'a pas
configuré spécialement et recompilé son propre kernel.
> CVE-2022-40307
DoS, ou privilege escalation .. mais exploitable que depuis root.
> CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722
>
> Soenke Huster discovered several vulnerabilities in the mac80211
> subsystem triggered by WLAN frames which may result in denial of
> service or the execution or arbitrary code.
ça c'est probablement le plus ennuyeux de tous, dans la mesure où WiFi
est utilisé sur la machine (en particulier si activé tout le temps).
Quelques cas:
1) serveur de fichier d'entreprise: aucune de ces vulnérabilités ne
nous concerne, on peut planifier la mise à jour dans la prochaine
fenêtre de mise à jour planifiée
2) laptop qui n'active le WiFi que dans des réseaux sûrs et ne va pas
sur Internet par un routeur/NAT Linux: aucun problème, mettre
à jour à l'occasion
3) cloud public: là, il faut mettre à jour en raison des attaques
locales potentielles, en particulier si kvm est utilisé
4) téléphone Android: une mise à jour semble assez importante si l'on
veut que l'isolation inter-applications Android -- un plus par rapport
aux desktop Linux, Mac et Microsoft -- reste efficace, mais on dépend de
son fabricant pour faire celles-ci, donc ...
5) routeur embarqué basé Linux: si IRC ou WiFi est utilisé, mise à
jour à faire le plus rapidement possible
More information about the gull
mailing list