Säkerhetsbulletin från Debian

DSA-2745-1 linux -- utökning av privilegier/överbelastning/informationsläckage

Rapporterat den:
2013-08-28
Berörda paket:
linux
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 701744.
I Mitres CVE-förteckning: CVE-2013-1059, CVE-2013-2148, CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851, CVE-2013-2852, CVE-2013-4162, CVE-2013-4163.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till överbelastning, informationsläckage eller utökning av privilegier. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-1059

    Chanam Park rapporterade ett problem i systemet för distribuerad lagring, Ceph. Fjärranvändare kan orsaka en överbelstning genom att skicka ett speciellt utformat auth_reply-meddelande.

  • CVE-2013-2148

    Dan Carpenter rapporterade ett informationsläckage i filsystemets undersystem för notifieringar för wide access (fanotify). Lokala användare kunde få tillgång till känsligt kärnminne.

  • CVE-2013-2164

    Jonathan Salwan rapporterade ett informationsläckage i drivrutinen för CD-ROM. En lokal användare på ett system med en fallerande CD-ROM-spelare kunde få tillgång till känsligt minne.

  • CVE-2013-2232

    Dave Jones och Hannes Frederic Sowa löste ett problem i undersystemet för IPv6. Lokala användare kunde orsaka en överbelastning genom att använda en AF_INET6 socket för att ansluta till en IPv4-destination.

  • CVE-2013-2234

    Mathias Krause rapporterade ett minnesläckage i implementationen av PF_KEYv2-sockets. Lokala användare kunde få tillgång till känsligt kärnminne.

  • CVE-2013-2237

    Nicholas Dichtel rapporterade ett minnesläckage i implementationen av PF_KEYv2-sockets. Lokala användare kunde få tillgång till känsligt kärnminne.

  • CVE-2013-2851

    Kees Cook rapporterade ett problem i undersystemet block. Lokala användare med uid 0 kunde få eleverade ring 0-privilegier. Detta är endast en säkerhetsbrist för vissa speciellt konfigurerade ststem.

  • CVE-2013-2852

    Kees Cook rapporterade ett problem i nätverkdrivrutinen b43 för vissa trådlösa Broadcomenheter. Lokala användare med uid 0 kunde få eleverade ring 0-rättigheter. Detta är endast ett särkerhetsproblem för vissa speciellt konfigurerade system.

  • CVE-2013-4162

    Hannes Frederic Sowa rapporterade ett problem i undersystemet för IPv6 nätverk. Lokala användare kan orsaka en överbelastning (systemkrasch).

  • CVE-2013-4163

    Dave Jones rapporterade ett problem i undersystemet för IPv6-nätverk. Lokala användare kan orsaka en överbelastning (systemkrasch).

Denna uppdatering inkluderar även en rättelse för en regression i undersystemet Xen.

För den stabila utgåvan (Wheezy), har dessa problem rättats i version 3.2.46-1+deb7u1.

Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:

  Debian 7.0 (Wheezy)
user-mode-linux 3.2-2um-1+deb7u2

Vi rekommenderar att ni uppgraderar era linux- och user-mode-linux-paket.

Vänligen notera:: Debian spårar noggrant alla kända säkerhetsproblem på alla paket för Linuxkärnan i alla utgåvor som befinner sig under aktivt stöd. Dock, med den höga frekvensen av säkerhetsproblem med låg allvarlighetsgrad som upptäcks i kärnan och resurserna som krävs för att göra en uppdatering, så kommer inte uppdateringar för problem med låg prioritet att släppas för alla kärnor på en gång. Istället kommer dom att samlas ihop och släppas i större klumpar. < />p>