Debian セキュリティ勧告

DSA-2632-1 linux-2.6 -- 特権の昇格/サービス拒否

報告日時:
2013-02-25
影響を受けるパッケージ:
linux-2.6
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-0231, CVE-2013-0871.
詳細:

複数の欠陥が Linux カーネルに発見されました。サービス拒否や特権の昇格につながる可能性があります。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-0231

    Jan Beulich さんが Xen PCI バックエンドドライバの問題への修正を提供しています。 パススルーの PCI デバイスを利用しているシステムではレートを制限されないカーネルログメッセージを使っていることにより、 ゲストユーザがそのホストシステムでサービス拒否を起こすことが可能です。

  • CVE-2013-0871

    Google の Suleiman Souhlal さんと Salman Qazi さんが、同じく Google の Aaron Durbin さんと Michael Davidson の支援を受け、ptrace サブシステムに問題を発見しました。PTRACE_SETREGS の競合状態のため、 ローカルユーザはカーネルスタックの破損および任意のコードの実行が可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.6.32-48squeeze1 で修正されています。

以下の表で、互換性や、 この更新を利用するために追加で再ビルドされたソースパッケージを提示します。

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze1

直ちに linux-2.6 および user-mode-linux パッケージをアップグレードすることを勧めます。