[gull] Fwd: [SECURITY] [DSA 5257-1] linux security update

Marc SCHAEFER schaefer at alphanet.ch
Wed Oct 19 09:12:38 CEST 2022 

On Wed, Oct 19, 2022 at 08:23:51AM +0200, Concombre Masqué via gull wrote:
> Suffisamment importante pour justifier un fwd. à la liste du GULL.

Vraiment?

La dangerosité d'une vulnérabilité dépend fortement de l'usage que l'on
fait de son système.

Evidemment, il faut faire toutes les mises à jour, mais pas forcément
besoin de les faire tout de suite:

> CVE-2021-4037

pas d'usage d'XFS, pas de souci.
attaque locale seulement.

> CVE-2022-0171

uniquement si kvm utilisé, et c'est un DoS.

> CVE-2022-1184

attaque locale sur ext4, plutôt crash, éventuellement plus.

> CVE-2022-2602

attaque socket locale

> CVE-2022-2663

celle-là est ennuyeuse si IRC est utilisé *et* que le module
nf_conntrack_irc est utilisé sur un routeur/NAT, vu que cela
permet d'ouvrir des ports arbitraires, notamment.

> CVE-2022-3061

pas activé sur Debian, pas vulnérable si l'utilisateur n'a pas
configuré spécialement et recompilé son propre kernel.

> CVE-2022-3176

local

> CVE-2022-3303

DoS local

> CVE-2022-20421

uniquement contexte Android, local

> CVE-2022-39188

local, DoS voire plus

> CVE-2022-39842

pas activé sur Debian, pas vulnérable si l'utilisateur n'a pas
configuré spécialement et recompilé son propre kernel.

> CVE-2022-40307

DoS, ou privilege escalation .. mais exploitable que depuis root.

> CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722
> 
>    Soenke Huster discovered several vulnerabilities in the mac80211
>    subsystem triggered by WLAN frames which may result in denial of
>    service or the execution or arbitrary code.

ça c'est probablement le plus ennuyeux de tous, dans la mesure où WiFi
est utilisé sur la machine (en particulier si activé tout le temps).

Quelques cas:

1) serveur de fichier d'entreprise: aucune de ces vulnérabilités ne
   nous concerne, on peut planifier la mise à jour dans la prochaine
   fenêtre de mise à jour planifiée

2) laptop qui n'active le WiFi que dans des réseaux sûrs et ne va pas
   sur Internet par un routeur/NAT Linux: aucun problème, mettre
   à jour à l'occasion

3) cloud public: là, il faut mettre à jour en raison des attaques
   locales potentielles, en particulier si kvm est utilisé

4) téléphone Android: une mise à jour semble assez importante si l'on
   veut que l'isolation inter-applications Android -- un plus par rapport
   aux desktop Linux, Mac et Microsoft -- reste efficace, mais on dépend de
   son fabricant pour faire celles-ci, donc ...

5) routeur embarqué basé Linux: si IRC ou WiFi est utilisé, mise à
   jour à faire le plus rapidement possible

More information about the gull mailing list