Рекомендация Debian по безопасности

DSA-2766-1 linux-2.6 -- повышение привилегий/отказ в обслуживании/утечка информации

Дата сообщения:
27.09.2013
Затронутые пакеты:
linux-2.6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-2141, CVE-2013-2164, CVE-2013-2206, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2239, CVE-2013-2851, CVE-2013-2852, CVE-2013-2888, CVE-2013-2892.
Более подробная информация:

Было выявлено несколько уязвимостей в ядре Linux, которые могли приводить к отказу в обслуживании, утечке информации или повышению привилегий. Проект Common Vulnerabilities and Exposures выявил следующие проблемы:

  • CVE-2013-2141

    Эмис Рефи предоставил исправление, связанное с утечкой информации в системных вызовах tkill и tgkill. Локальный пользователь на 64-битных системах мог получить доступ к содержимому критичного участка памяти.

  • CVE-2013-2164

    Джонатан Солвейн сообщил об утечке информации в драйвере CD-ROM. Локальный пользователь на системах с плохо функционирующим приводом компакт-дисков мог получить доступ к содержимому критичного участка памяти.

  • CVE-2013-2206

    Карл Хайс сообщил о проблеме в реализации Linux SCTP. Удалённый пользователь мог вызвать отказ в обслуживании (аварийное завершение системы).

  • CVE-2013-2232

    Дэйв Джонс и Ханна Фредерик Соува решили проблему в подсистемах IPv6. Локальные пользователи могли вызвать отказ в обслуживании, используя сокет AF_INET6 для подключения к адресату IPv4.

  • CVE-2013-2234

    Матиас Краузе сообщил об утечке памяти в реализации сокетов PF_KEYv2. Локальные пользователи могли получать доступ к содержимому критичного участка памяти ядра.

  • CVE-2013-2237

    Николас Дихтель сообщил об утечке информации в реализации сокетов PF_KEYv2. Локальные пользователи могли получить доступ к содержимому критичного участка памяти ядра.

  • CVE-2013-2239

    Джонатан Солвейн обнаружил многочисленные утечки информации в ядре openvz. Локальные пользователи могли получить доступ к содержимому критичного участка памяти ядра.

  • CVE-2013-2851

    Кис Кук сообщил о проблеме в блочной подсистеме. Локальные пользователи с uid 0 могли добиться повышения привилегий нулевого кольца безопасности. Это является проблемой только для некоторых особым образом настроенных систем.

  • CVE-2013-2852

    Кис Кук сообщил о проблеме в сетевом драйвере b43 для некоторых беспроводных устройств Broadcom. Локальные пользователи с uid 0 могли добиться повышения привилегий нулевого кольца безопасности. Это является проблемой только для некоторых особым образом настроенных систем.

  • CVE-2013-2888

    Кис Кук сообщил о проблеме в драйвере подсистемы HID. Локальный пользователь, имеющий возможность подключать устройства, мог вызвать отказ в обслуживании (аварийное завершение системы).

  • CVE-2013-2892

    Кис Кук сообщил о проблеме в драйвере HID устройств pantherlord. Локальные пользователи, имеющие возможность подключать устройства, могли вызвать отказ в обслуживании или получить повышенные привилегии.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.6.32-48squeeze4.

Следующая таблица содержит список дополнительный пакетов с исходным кодом, которые были собраны заново для обеспечения совместимости с данным обновлением:

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze4

Мы рекомендуем вам обновить ваши пакеты linux-2.6 и user-mode-linux.

Внимание: Debian внимательно отслеживает все известные проблемы безопасности во всех пакетах ядра Linux во всех выпусках, для которых предоставляется поддержка обновлений безопасности. Тем не менее, учитывая то, что проблемы безопасности низкой важности обнаруживаются в ядре довольно часто, а также учитывая ресурсы необходимые для осуществления обновления, обновления проблем с более низким приоритетом, обычно, не будут выпускаться для всех ядер одновременно. Скорее же они будут выпускаться в шахматном порядке или в порядке чахорды.