Säkerhetsbulletin från Debian

DSA-2632-1 linux-2.6 -- utökning av privilegier/överbelastning

Rapporterat den:
2013-02-25
Berörda paket:
linux-2.6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-0231, CVE-2013-0871.
Ytterligare information:

Flera sårbarheter har hittats i Linuxkärnan som kan leda till en överbelastningsattack eller utökning av privilegier. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-0231

    Jan Beulich ordnade en fix för ett problem i drivrutinerna till bakändan till Xen PCI. Använvdare av gäster på ett system som använder vidareslussade PCI-enheter kunde skapa en överbelastningsattack på värdsystemet på grund av användning av icke hastighetsbegränsade loggmeddelanden från kärnan.

  • CVE-2013-0871

    Suleiman Souhlal och Salman Qazi från Google, hittade med hjälp från Aaron Durbin och Michael Davidson från Google, ett problem med undersystemet ptrace. På grund av en kapplöpningseffekt med PTRACE_SETREGS kunde lokala användare orsaka en stackkorruption i kärnan samt exekvering av opålitlig kod.

För den stabila utgåvan (squeeze) har detta problem rättats i version 2.6.32-48squeeze1.

Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:

  Debian 6.0 (Squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze1

Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.