Liste des correctifs sécurité

Tous les jours, on voit passer des avis (alertes) sécurité concernant les systèmes d’exploitation (OS) ou les applications. Ces avis contiennent une description du problème et des références internes de la forme CVE-<année>-<numéro>.

Chaque distribution publie des mises à jours pour corriger les anomalies détectées sur ses constitutants et pour palier ces failles sécurité.

Comment peut on vérifier que le noyau est à jour et donc sécurisé ?

Sous CentOS (donc Fedora), on peut utiliser la commande :

    rpm -q --changelog kernel

Sur une CentOS 5.3, j’ai aujourdhui avec le noyau 2.6.18-128.1.10.el5 les mises à jour suivante pour l’année 2009 :

    # rpm -q --changelog kernel | grep CVE-2009
    - [misc] exit_notify: kill the wrong capable check [494270 494271] {CVE-2009-1337}
    - [misc] fork: CLONE_PARENT && parent_exec_id interaction (Don Howard ) [479963 479964] {CVE-2009-0028}
    - [nfs] v4: client crash on file lookup with long names (Sachin S. Prabhu ) [494078 493942] {CVE-2009-1336}
    - [fs] ecryptfs: fix memory leak into crypto headers (Eric Sandeen ) [491255 491256] {CVE-2009-0787}
    - [ptrace] audit_syscall_entry to use right syscall number (Jiri Pirko ) [488001 488002] {CVE-2009-0834}
    - [net] fix icmp_send and icmpv6_send host re-lookup code (Jiri Pirko ) [489253 439670] {CVE-2009-0778}
    - [net] skfp_ioctl inverted logic flaw (Eugene Teo ) [486539 486540] {CVE-2009-0675}
    - [net] memory disclosure in SO_BSDCOMPAT gsopt (Eugene Teo ) [486517 486518] {CVE-2009-0676}
    - [misc] minor signal handling vulnerability (Oleg Nesterov ) [479963 479964] {CVE-2009-0028}
    - [fs] ecryptfs: readlink flaw (Eric Sandeen ) [481606 481607] {CVE-2009-0269}
    - [security] introduce missing kfree (Jiri Pirko ) [480597 480598] {CVE-2009-0031}
    - [net] sctp: overflow with bad stream ID in FWD-TSN chunk (Eugene Teo ) [478804 478805] {CVE-2009-0065}

L’analyse des mises à jour fonctionne également pour d’autres éléments.

Exemple pour cups :

    # rpm -q --changelog cups | grep CVE
    - Applied patches to fix CVE-2009-0163 (bug #490596),
     CVE-2009-0146 (bug #490612), CVE-2009-0147 (bug #490614),
     and CVE-2009-0166 (bug #490625).
    - Applied patch to fix STR #2974 (bug #473905, CVE-2008-5286,
     CVE-2008-1722).
    - Applied patch to fix STR #2774 (bug #473915, CVE-2008-5184).
     CVE-2008-5183).
    - Applied patch to fix CVE-2008-3639 (STR #2918, bug #464722).
    - Applied patch to fix CVE-2008-3640 (STR #2919, bug #464722).
    - Applied patch to fix CVE-2008-3641 (STR #2911, bug #464722).
    - Re-applied patch for CVE-2008-1722.
     CVE-2007-0720, CVE-2007-3387, CVE-2007-4351,
     CVE-2007-4352,5492,5393, CVE-2007-4045, docinfo-crash, str2656,
     CVE-2008-0047, CVE-2008-0053, CVE-2008-1373 or CVE-2008-1722
    - Applied patch to fix CVE-2008-1722 (integer overflow in image filter,
    - Applied patch to fix CVE-2008-0053 (HP-GL/2 input processing, bug #438117).
    - Applied patch to fix CVE-2008-1373 (GIF overflow, bug #438303).
     program (bug #436153, CVE-2008-0047, STR #2729).
    - Applied patch to fix CVE-2007-4045 (bug #356581).
    - Applied patch to fix CVE-2007-4352, CVE-2007-5392 and
     CVE-2007-5393 (bug #356581).
    - Applied patch to fix CVE-2007-4351 (STR #2561, bug #353991).
    - Applied patch to fix CVE-2007-3387 (bug #248223).
     str1249, str1284, str1290, str1301, CVE-2005-3625,6,7 patches.
    - Apply patch to fix CVE-2005-3625, CVE-2005-3626, CVE-2005-3627