Säkerhetsbulletin från Debian

DSA-2469-1 linux-2.6 -- utökning av privilegier/överbelastning

Rapporterat den:
2012-05-10
Berörda paket:
linux-2.6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2011-4086, CVE-2012-0879, CVE-2012-1601, CVE-2012-2123, CVE-2012-2133.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till en överbelastning eller utökning av privilegier. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2011-4086

    Eric Sandeen rapporterade ett problem i journalförande lagret för ext4-filsystem (jbd2). Lokala användare kan orsaka buffrar att nås efter att dom har frigjorts, vilket resulterar i överbelastning (DoS) på grund av systemkrasch.

  • CVE-2012-0879

    Louis Rilling rapporterade två referensräkningsproblem i CLONE_IO-funktionen i kärnan. Lokala användare kan förhindra io contect-strukturer från att frias, vilket resulterar i överbelastning.

  • CVE-2012-1601

    Michael Ellerman rapporterade ett problem i undersystemet KVM. Lokala användare kunde orsaka en överbelastning (NULL-pekardereferens) genom att skapa VCPUs innan ett anrop till KVM_CREATE_IRQCHIP.

  • CVE-2012-2123

    Steve Grubb rapporterade ett problem i fcaps, ett filsystembaserat funktionssystem. Personlighetsflaggor som har satts med denna mekanism, så som inaktivering av address space randomization, kan behålls mellan suid-anrop.

  • CVE-2012-2133

    Sachar Raindel upptäckte ett användning-efter-frigörningsproblem i implementationen av hugepages quota. Lokala användare med rättigheter att använda hugepages med hjälp av hugetlbfs-implementationen kan ha möjlighet att orsaka en överbelastning (systemkrasch).

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.6.32-44. Uppdateringar finns för närvarande endast för amd64-, i386- och sparc- anpassningarna.

Notera: uppdaterade linux-2.6-paket kommer även att finnas tillgängliga i utgåvan av Debian 6.0.5, som är schemalagd att ske veckoslutet 2012.05.12. Denna avvaktande uppdatering kommer att bli version 2.6.32-45, och tillhandahåller en ytterligare rättning för byggmisslyckanden på vissa anpassningar. Användare för vilka denna uppgradering inte är kritisk, och som kan vilja undvika flera omstarter, bör överväga att vänta på uppdateringen 6.0.5 innan de uppdaterar, eller installera uppdateringen 2.6.32-45 från proposed-updates i förväg.

Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:

  Debian 6.0 (Squeeze)
user-mode-linux 2.6.32-1um-4+44

Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.