Debian セキュリティ勧告

DSA-2745-1 linux -- 特権の昇格/サービス拒否/情報漏洩

報告日時:
2013-08-28
影響を受けるパッケージ:
linux
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 701744.
Mitre の CVE 辞書: CVE-2013-1059, CVE-2013-2148, CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851, CVE-2013-2852, CVE-2013-4162, CVE-2013-4163.
詳細:

複数の欠陥が Linux カーネルに発見されました。 サービス拒否や情報漏洩、特権の昇格につながる可能性があります。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-1059

    Chanam Park さんが Ceph 分散ストレージシステムの問題を報告しています。 リモートのユーザが特別に細工した auth_reply メッセージを送ることでサービス拒否を引き起こすことが可能です。

  • CVE-2013-2148

    Dan Carpenter さんが、ファイルシステム全体のアクセス通知サブシステム (fanotify) にある情報漏洩を報告しています。ローカルユーザが機密のカーネルメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2164

    Jonathan Salwan さんが CD-ROM ドライバの情報漏洩を報告しています。誤動作する CD-ROM ドライブを接続しているシステムのローカルユーザが機密のメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2232

    Dave Jones さんと Hannes Frederic Sowa さんが IPv6 サブシステムの問題を解決しています。ローカルユーザが AF_INET6 ソケットを使って IPv4 の対象に接続することでサービス拒否を引き起こすことが可能です。

  • CVE-2013-2234

    Mathias Krause さんが PF_KEYv2 ソケットの実装にあるメモリ漏洩を報告しています。 ローカルユーザが機密のカーネルメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2237

    Nicolas Dichtel さんが PF_KEYv2 ソケットの実装にあるメモリ漏洩を報告しています。 ローカルユーザが機密のカーネルメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2851

    Kees Cook さんが block サブシステムにある問題を報告しています。昇格した ring 0 権限を uid が 0 のローカルユーザが獲得する可能性があります。 これは特別に設定された一部のシステムでのみセキュリティ問題となります。

  • CVE-2013-2852

    Kees Cook さんが、特定の Broadcom 無線機器向けの b43 ネットワークドライバにある問題を報告しています。昇格した ring 0 権限を uid が 0 のローカルユーザが獲得する可能性があります。 これは特別に設定された一部のシステムでのみセキュリティ問題となります。

  • CVE-2013-4162

    Hannes Frederic Sowa さんが IPv6 ネットワークサブシステムにある問題を 報告しています。ローカルユーザがサービス拒否 (システムのクラッシュ) を引き起こすことが可能です。

  • CVE-2013-4163

    Dave Jones さんが IPv6 ネットワークサブシステムにある問題を 報告しています。ローカルユーザがサービス拒否 (システムのクラッシュ) を引き起こすことが可能です。

この更新では Xen サブシステムでのリグレッションに対する修正も収録しています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.2.46-1+deb7u1 で修正されています。

以下の表で、互換性や、 この更新を利用するために追加で再ビルドされたソースパッケージを提示します。

  Debian 7.0 (wheezy)
user-mode-linux 3.2-2um-1+deb7u2

直ちに linux 及び user-mode-linux パッケージをアップグレードすることを勧めます。

注意: Debian は積極的なセキュリティサポートの下、全リリースの linux カーネルパッケージの既知のセキュリティ問題を全て注意深く追跡しています。 しかし、重要度の低いセキュリティ問題がカーネルに高頻度で発見されることと その更新に必要となるリソースの観点から、 優先度の低い問題の更新では通常全カーネルが同時にはリリースされません。 その場合は千鳥足あるいは交互前進のように別個にリリースされます。