Debians sikkerhedsbulletin

DSA-2745-1 linux -- rettighedsforøgelse/lammelsesangreb/informationslækage

Rapporteret den:
28. aug 2013
Berørte pakker:
linux
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 701744.
I Mitres CVE-ordbog: CVE-2013-1059, CVE-2013-2148, CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851, CVE-2013-2852, CVE-2013-4162, CVE-2013-4163.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke måske kunne føre til et lammelsesangreb (denial of service), informationslækage eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problems:

  • CVE-2013-1059

    Chanam Park rapporterede om et problem i det distribuerede storagesystem Ceph. Fjernbrugere kunne forårsage et lammelsesangreb ved at sende en særligt fremstillet auth_reply-meddelelse.

  • CVE-2013-2148

    Dan Carpenter rapporterede om en informationslækage i undersystemet filesystem wide access notification (fanotify). Lokale brugere kunne få adgang til følsom kernehukommelse.

  • CVE-2013-2164

    Jonathan Salwan rapporterede om en informationslækage i CD-ROM-driveren. En lokal bruger på et system med fejlbehæftet CD-ROM-drev, kunne få adgang til følsom hukommelse.

  • CVE-2013-2232

    Dave Jones og Hannes Frederic Sowa løste et problem i IPv6-undersystemet. Lokale brugere kunne forårsage et lammelsesangreb ved at benytte en AF_INET6-socket til at forbinde sig med en IPv4-destination.

  • CVE-2013-2234

    Mathias Krause rapporterede en hukommelseslækage i implementeringen af PF_KEYv2-sockets. Lokale brugere kunne få adgang til følsom kernehukommelse.

  • CVE-2013-2237

    Nicolas Dichtel rapporterede om en hukommelseslækage i implementeringen af PF_KEYv2-sockets. Lokale brugere kunne få adgang til følsom kernehukommelse.

  • CVE-2013-2851

    Kees Cook reported an issue in the block subsystem. Local users with uid 0 could gain elevated ring 0 privileges. This is only a security issue for certain specially configured systems.

  • CVE-2013-2852

    Kees Cook rapporterede om et problem i b43-netværksdriveren hvad angår visse trådløse Broadcom-enheder. Lokale brugere med uid 0, kunne få forøgede ring 0-rettigheder. Sikkerhedsproblemet berører kun visse særligt opsatte systemer.

  • CVE-2013-4162

    Hannes Frederic Sowa rapporterede om et problem i IPv6-netværksundersystemet. Lokale brugere kunne forårsage et lammelsesangreb (systemnedbrud)).

  • CVE-2013-4163

    Dave Jones rapporterede om et problem i IPv6-netværksundersystemet. Lokale brugere kunne forårsage et lammelsesangreb (systemnedbrud).

Opdateringen indeholder også en rettelse af en regression i undersystemet Xen.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.2.46-1+deb7u1.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

  Debian 7.0 (wheezy)
user-mode-linux 3.2-2um-1+deb7u2

Vi anbefaler at du opgraderer dine linux- og user-mode-linux-pakker.

Bemærk: Debian holder omhyggeligt rede på alle kendte sikkerhedsproblemer på tværs af alle linux-kerne-pakker i alle udgivelser med aktiv sikkerhedsunderstøttelse. Men den store mængde sikkerhedsproblemer af lav prioritet, der opdages i kernen og ressourcekravene til at foretage en opdatering, taget i betragtning, vil problemer af lavere sikkerhedsprioritet typisk ikke blive udgivet til alle kerner på samme tid. I stedet vil de blive opsamlet og udgivet i større klumper.