Säkerhetsbulletin från Debian

DSA-2443-1 linux-2.6 -- utökning av privilegier/överbelastning

Rapporterat den:
2012-03-26
Berörda paket:
linux-2.6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2009-4307, CVE-2011-1833, CVE-2011-4347, CVE-2012-0045, CVE-2012-1090, CVE-2012-1097.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till en överbelastning eller utökning av privilegier. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2009-4307

    Nageswara R Satry rapporterade ett problem i filsystemet ext4. Lokala användare med rättigheter att montera ett filsystem kan orsaka en överbelastning (BUG) genom att tillhandahålla ett s_log_groups_per_flex-värde som är större än 31.

  • CVE-2011-1833

    Vasiliy Kulikov från Openwall och Dan Rosenberg upptäckte ett informationsläckage i filsystemet eCryptfs. Lokala användare kunde montera godtyckliga mappar.

  • CVE-2011-4347

    Sasha Levin rapporterade ett problem i enhetstilldelningsfunktionaliteten i KVM. Lokala användare med rättighter att ha åtkomst till /dev/kvm kunde tilldela oanvända pci-enheter till en gäst och orsaka en överbelastning (krasch).

  • CVE-2012-0045

    Stephan Barwolf rapporterade ett problem i KVM. Lokala användare i ett 32-bitars gästsystem som körs på ett 64-bitarssystem kan krascha gästen med en syscall-instruktion.

  • CVE-2012-1090

    CAI Qian rapporterade ett problem i filsystemet CIFS. Ett referensräknarläckage kan inträffa under lookup av speciella filer, vilket resulterar i en överbelastning (oops) vid umount.

  • CVE-2012-1097

    H. Peter Anvin rapporterade ett problem i regset-infrastrukturen. Lokala användare kan orsaka en överbelastning (NULL-pekardereferens) genom att trigga skrivmetoderna i readonly-regsets.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.6.32-41squeeze2.

Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:

  Debian 6.0 (Squeeze)
user-mode-linux 2.6.32-1um-4+41squeeze2

Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.

Tack till Micah Anderson för kontrolläsning av denna text.