Debians sikkerhedsbulletin

DSA-2632-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb

Rapporteret den:
25. feb 2013
Berørte pakker:
linux-2.6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-0231, CVE-2013-0871.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-0231

    Jan Beulich leverede en rettelse til et problem i Xen PCI-backenddriverne. Brugere af gæster på et system som anvender videreførte PCI-enheder, kunne iværksætte et lammelsesangreb på værtssystemet på grund anvendelse af ikke-hyppighedsbegrænsede kernelogmeddelelser.

  • CVE-2013-0871

    Suleiman Souhlal og Salman Qazi fra Google, med hjælp fra Aaron Durbin og Michael Davidson fra Google, opdagede et problem i ptrace-undersystemet. På grund af en kapløbstilstand med PTRACE_SETREGS, kunne lokale brugere forårsage korruption af kernestakken og udførelse af vilkårlig kode.

I den stabile distribution (squeeze), er dette problem rettet i version 2.6.32-48squeeze1.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze1

Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.