Debians sikkerhedsbulletin

DSA-2952-1 kfreebsd-9 -- sikkerhedsopdatering

Rapporteret den:
5. jun 2014
Berørte pakker:
kfreebsd-9
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-1453, CVE-2014-3000, CVE-2014-3880.
Yderligere oplysninger:

Flere sårbarheder er opdaget i FreeBSD-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller muligvis blotlæggelse af kernehukommelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-1453

    En fjern, autentificeret angriber kunne forårsage at NFS-serveren kom i en deadlock, medførende et lammelsesangreb.

  • CVE-2014-3000:

    En angriber, der kan sende en serie særligt fremstillede pakker ved hjælp af en forbindelse, kunne forårsage en lammelsesangrebssituation, ved at få kernen til at gå ned.

    Desuden, på grund af den udefinerede stakhukommelse kunne blive overskrevet af andre kernetråde, kunne det med noget besvær være muligt for en angriber omhyggeligt at konstruere et angreb med det formål at få adgang til en del af kernehukommelsen via en forbundet socket. Det kunne medføre blotlæggelse af følsomme oplysninger, så som loginoplysninger, osv., før, eller endda uden, at systemet blev bragt til at gå ned.

  • CVE-2014-3880

    En lokal angriber kunne udløse et kernenedbrud (tredobbelt fault) med potentielt datatab, i forbindelse med systemkaldene execve/fexecve. Rapporteret af Ivo De Decker.

I den stabile distribution (wheezy), er disse problemer rettet i version 9.0-10+deb70.7.

I den ustabile distribution (sid) og i distributionen testing (jessie), er disse problemer rettet i kfreebsd-10's version 10.0-6.

Vi anbefaler at du opgraderer dine kfreebsd-9-pakker.