Debians sikkerhedsbulletin

DSA-2443-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb

Rapporteret den:
26. mar 2012
Berørte pakker:
linux-2.6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-4307, CVE-2011-1833, CVE-2011-4347, CVE-2012-0045, CVE-2012-1090, CVE-2012-1097.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, som kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-4307

    Nageswara R Sastry rapporterede om et problem i ext4-filsystemet. Lokale brugere med rettigheder til at mounte et filsystem, kunne forårsage et lammelsesangreb (BUG) ved at levere en s_log_groups_per_flex-værdi større end 31.

  • CVE-2011-1833

    Vasiliy Kulikov fra Openwall og Dan Rosenberg opdagede en informationslækage i eCryptfs-filsystemet. Lokale brugere kunne mounte vilkårlige mapper.

  • CVE-2011-4347

    Sasha Levin rapporterede om et problem i funktionaliteten til tildeling af enheder i KVM. Lokale brugere med rettigheder til at tilgå /dev/kvm, kunne tildele ubenyttede pci-enheder til en gæst og forårsage et lammelsesangreb (nedbrud).

  • CVE-2012-0045

    Stephan Barwolf rapporterede om et problem i KVM. Lokale brugere af en 32 bitgæst, som kører på et 64 bit-system, kunne få gæsten til at gå ned med en syscall-instruktion.

  • CVE-2012-1090

    CAI Qian rapporterede om et problem i CIFS-filsystemet. En lækage af en referencetæller kunne opstå under opslag af særlige filer, medførende et lammelsesangreb (oops) ved umount.

  • CVE-2012-1097

    H. Peter Anvin rapporterede om et problem i regset-infrastrukturen. Lokale brugere kunne forårsage et lammelsesangreb (NULL-pointerdereference) ved at udløse readonly-regsets skrivemetoder.

I den stabile distribution (squeeze), er dette problem rettet i version 2.6.32-41squeeze2.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+41squeeze2

Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.

Tak til Micah Anderson for korrekturlæsning af denne teksts engelske udgave.