Salut,
Linux (4.14.2-1) est coincé dans sid jusqu’à nouvel ordre :
#883558 - linux: not yet ready to enter testing - Debian Bug report logs
Il paraît que ça fait suite à un embargo sécuritaire :
I asked about this on IRC and received the response from Ben that there’s an embargoed security issue pending,
Des commentaires ?
root@debian:/# uname --all
Linux debian 4.14.0-1-amd64 #1 SMP Debian 4.14.2-1 (2017-11-30) x86_64 GNU/Linux
root@debian:/# apt list *4.14.0-1-amd64*
En train de lister... Fait
linux-headers-4.14.0-1-amd64/unstable,now 4.14.2-1 amd64 [installé, automatique]
linux-image-4.14.0-1-amd64/unstable,now 4.14.2-1 amd64 [installé, automatique]
linux-image-4.14.0-1-amd64-dbg/unstable 4.14.2-1 amd64
root@debian:/#
Tout à fait opérationnel.
4.14.2-1 <-> 4.14.0-1
Vous ne parlez pas de la même version.
Sinon, c’est quoi une “embargoed security issue”, l’embargo, il est sur une exportation de techno militaire, ou bien juste sur une faille détectée mais non divulguée en attente de correction ?
Mais s
Linux debian 4.14.0-1-amd64 #1 SMP Debian 4.14.2-1 (2017-11-30) x86_64 GNU/Linux
il faut savoir lire une ligne jusqu’au bout
le nom générique est 4.14.0-1- dont la version est 4.14.2-1 du (2017-11-30)
il me semble que c’est plutôt ça 
si c’est ce genre de pb, ça ne me fait pas trembler, j’habite dans une grotte au fond de l’Himalaya et personne ne viendra connecter de l’usb 
Par ailleurs il y a des améliorations de securité qui sont toujours en défaut sur le kernel qu tu utilises
https://outflux.net/blog/archives/2017/11/14/security-things-in-linux-v4-14/
Ah non. Moi je suis en 4.13. Ce sont d’autres failles.
le noyau 4.14 ne serait-il pas touché par le bug du 4.13 qui détruit les bios Lenovo et ACER basés sur Insyde Software??
Levée de l’embargo : la version 4.14.7-1 de linux dans debian devrait être la prochaine dans buster (actuelle testing).
* bpf/verifier: Fix multiple security issues (Closes: #883558):
- encapsulate verifier log state into a structure
- move global verifier log into verifier environment
- fix branch pruning logic
- fix bounds calculation on BPF_RSH
- fix incorrect sign extension in check_alu_op() (CVE-2017-16995)
- fix incorrect tracking of register size truncation (CVE-2017-16996)
- fix 32-bit ALU op verification
- fix missing error return in check_stack_boundary()
- force strict alignment checks for stack pointers
- don't prune branches when a scalar is replaced with a pointer
- fix integer overflows
Des clarifications sont présentes dans l’annonce de sécurité DSA 4073-1 :
The various problems in the Extended BPF verifier can be mitigated by
disabling use of Extended BPF by unprivileged users:
sysctl kernel.unprivileged_bpf_disabled=1
Debian disables unprivileged user namespaces by default, but if they
are enabled (via the kernel.unprivileged_userns_clone sysctl) then
CVE-2017-17448 can be exploited by any local user.
[SECURITY] [DSA 4073-1] linux security update
La version de linux dans wheezy (actuelle LTS) n’est pas concernée par CVE-2017-17448 :
[wheezy] - linux <ignored> (User namespaces not supported)
La version dans sid (4.14.7) est concernée par CVE-2017-17862 donc ce sera sans doute la version 4.14.8 qui passera dans buster…
Description kernel/bpf/verifier.c in the Linux kernel through 4.14.8 ignores …
Bilan : utiliser stretch
il suffit de vérifier
root@debian:/# uname --all
Linux debian 4.14.0-1-amd64 #1 SMP Debian 4.14.2-1 (2017-11-30) x86_64 GNU/Linux
root@debian:/# sysctl kernel.unprivileged_bpf_disabled
kernel.unprivileged_bpf_disabled = 0
root@debian:/# sysctl kernel.unprivileged_userns_clone
kernel.unprivileged_userns_clone = 0
root@debian:/#
et tout va bien
La valeur 1 est préconisée
pour que ça soit à chaque boot, j’ai ajouté ces lignes dans /etc/sysctl.conf:
#########################################################
#https://www.decadent.org.uk/ben/blog/bpf-security-issues-in-debian.html
kernel.unprivileged_bpf_disabled=1