Рекомендация Debian по безопасности

DSA-2952-1 kfreebsd-9 -- обновление безопасности

Дата сообщения:
05.06.2014
Затронутые пакеты:
kfreebsd-9
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-1453, CVE-2014-3000, CVE-2014-3880.
Более подробная информация:

В ядре FreeBSD были обнаружены несколько уязвимостей, которые могут приводить к отказу в обслуживании или возможному раскрытию памяти ядра. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-1453

    Удалённый и авторизованный злоумышленник может вызвать зависание сервера NFS, что приводит к отказу в обслуживании.

  • CVE-2014-3000:

    Злоумышленник, имеющий возможность отправить серию специально сформированных пакетов, может вызвать отказ в обслуживании, который возникает из-за аварийного завершения работы ядра.

    Кроме того, поскольку неопределённая переменная стека может быть перезаписана другими нитями ядра, хотя это и сложно, это может позволить злоумышленнику организовать специальную атаку для получения части памяти ядра через подсоединённый сокет. Это может приводить к раскрытию чувствительной информации, такой как данные учётной записи и проч. до или даже без аварийного завершения работы системы.

  • CVE-2014-3880

    Локальный злоумышленник может вызвать аварийное завершение работы ядра (троекратная ошибка) с потенциальной потерей данных, связанной с системными вызовами execve/fexecve. Об этой уязвимости сообщил Айво Де Декер.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 9.0-10+deb70.7.

В нестабильном (sid) и тестриуемом (jessie) выпусках эти проблемы были исправлены в пакете kfreebsd-10 версии 10.0-6.

Рекомендуется обновить пакеты kfreebsd-9.