Debian セキュリティ勧告

DLA-103-1 linux-2.6 -- LTS セキュリティ更新

報告日時:
2014-12-09
影響を受けるパッケージ:
linux-2.6
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-6657, CVE-2013-0228, CVE-2013-7266, CVE-2014-4157, CVE-2014-4508, CVE-2014-4653, CVE-2014-4654, CVE-2014-4655, CVE-2014-4943, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472.
詳細:

このセキュリティアップロードは Debian のカーネル、セキュリティ、LTS の各チームが連携して行いました。上流の安定版リリース 2.6.32.64 を取り込んでいます (さらなる情報については https://lkml.org/lkml/2014/11/23/181 を見てください)。以下の CVE を修正しています。

注意: openvz フレーバーを利用している場合は以下の3点を考慮してください:
a.) openvz フレーバーに関するフィードバックは全く受け取っていません (他のフレーバーについてはどれも受け取っています)。
b.) そのため、運用環境に展開する前にテストしてください。
c.) テストしたら debian-lts@lists.debian.org にフィードバックしてください。

openvz フレーバーを利用していなくても b+c については検討してください :-)

  • CVE-2012-6657

    sock_setsockopt 関数を修正し、ローカルユーザがサービス拒否 (システムのクラッシュ) 攻撃を起こせるのを回避。

  • CVE-2013-0228

    ゲストOSのユーザにゲストOSの権限獲得を許す XEN の権限昇格を修正。

  • CVE-2013-7266

    mISDN_sock_recvmsg 関数を修正し、 ローカルユーザがカーネルメモリから機密情報を獲得できるのを回避。

  • CVE-2014-4157

    MIPS 基盤: 意図した PR_SET_SECCOMP による制限をローカルユーザが迂回するのを回避。

  • CVE-2014-4508

    システムコール監査が有効になっている場合にローカルユーザがサービス拒否 (OOPS 及びシステムのクラッシュ) を引き起こすのを回避。

  • CVE-2014-4653, CVE-2014-4654, CVE-2014-4655

    ALSA 制御の実装を修正し、ローカルユーザによる サービス拒否攻撃やカーネルメモリからの機密情報取得を回避。

  • CVE-2014-4943

    PPPoL2TP 機能を修正し、ローカルユーザの権限獲得を回避。

  • CVE-2014-5077

    リモートの攻撃者が SCTP に関わるサービス拒否攻撃を引き起こすのを回避。

  • CVE-2014-5471, CVE-2014-5472

    parse_rock_ridge_inode_internal 関数を修正し、ローカルユーザが細工した iso9660 イメージを経由してサービス拒否攻撃を引き起こすのを回避。

  • CVE-2014-9090

    do_double_fault 関数を修正し、ローカルユーザがサービス拒否 (パニック) 攻撃を引き起こすのを回避。

Debian 6Squeezeでは、この問題は linux-2.6 バージョン 2.6.32-48squeeze9 で修正されています。