Debians sikkerhedsbulletin

DSA-2469-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb

Rapporteret den:
10. maj 2012
Berørte pakker:
linux-2.6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-4086, CVE-2012-0879, CVE-2012-1601, CVE-2012-2123, CVE-2012-2133.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2011-4086

    Eric Sandeen rapporterede om et problem i journaliseringslaget i ext4-filsystemer (jbd2). Lokale brugere kunne forårsage, at buffere blev tilgået efter de var blevet nedlagt, medførende et lammelsesangreb (DoS) på grund af et systemnedbrud.

  • CVE-2012-0879

    Louis Rilling rapporterede om to problemer i forbindelse med referenceoptælling i CLONE_IO-funktionaliteten i kernen. Lokale brugere kunne forhindre io-kontekststrukturer i at blive frigivet, medførende et lammelsesangreb.

  • CVE-2012-1601

    Michael Ellerman rapporterede om et problem i KVM-undersystemet. Lokale brugere kunne forårsage et lammelsesangreb (NULL-pointerdereference) ved oprettelse af VCPU'er før et kald til KVM_CREATE_IRQCHIP.

  • CVE-2012-2123

    Steve Grubb rapporterede om et problem i fcaps, et filsystem-baseret kapabilitetssystem. Personalitetsflag opsat ved hjælp af denne mekanisme, så som deaktivering af adresserumsrandomisering kunne måske være bevaret på tværs af suid-kald.

  • CVE-2012-2133

    Shachar Raindel opdagede en fejl i forbindelse med anvendelse efter frigivelse i implementeringen af hugepages-kvoter. Lokale brugere med rettigheder til at anvende hugepages via implementeringen af hugetlbfs kunne måske forårsage et lammelsesangreb (systemnedbrud).

I den stabile distribution (squeeze), er dette problem rettet i version 2.6.32-44. Pt. er kun opdateringr til amd64, i386 og sparc tilgængelige.

Bemærk: Opdaterede linux-2.6-pakker vil også blive gjort tilgængelige i udgivelsen af Debian 6.0.5, planlagt til at finde sted i weekenden som begynder med 12. maj 2012. Denne kommende opdatering bliver version 2.6.32-45, og indeholder en yderligere rettelse af build-fejl på nogle arkitekturer. Brugere, som det ikke er kritisk for at installere opdateringen, og somm måske ønsker at undgå flere genstarter, bør overveje at vente på udgivelsen af 6.0.5 før de opdaterer, eller installere 2.6.32-45-versionen på forhånd fra proposed-updates.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+44

Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.