Säkerhetsbulletin från Debian

DSA-2928-1 linux-2.6 -- utökning av privilegier/överbelastning/informationsläckage

Rapporterat den:
2014-05-14
Berörda paket:
linux-2.6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-0196, CVE-2014-1737, CVE-2014-1738.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till en överbelastning, informationsläckage eller utökning av privilegier. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-0196

    Jiri Slaby upptäckte en kapplöpningseffekt i pty-lagret, som kunde leda till en överbelastning eller utökning av privilegier.

  • CVE-2014-1737 CVE-2014-1738

    Matthew Daley upptäckte ett informationsläckage och saknad rengörning av indata i FDRAWCMD ioctl i floppy-drivrutinen. Detta kunde resultera i en utökning av privilegier.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.6.32-48squeeze6.

Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:

  Debian 6.0 (Squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze6

Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.

Observera: Debian spårar försiktigt alla kända säkerhetsproblem i alla paket för linuxkärnan i alla utgåvor som är under aktivt säkerhetsstöd. Dock, givet den höga frekvensen som säkehetsproblem med låg allvarlighetsgrad upptäckts i kärnan och resurserna som krävs för att göra en uppdatering så kommer uppdateringar för problem med lägre prioritet inte släppas samtidigt för alla kärnor på samma gång. Istället kommer dom att släppas i större klumpar.