Säkerhetsbulletin från Debian

DSA-2952-1 kfreebsd-9 -- säkerhetsuppdatering

Rapporterat den:
2014-06-05
Berörda paket:
kfreebsd-9
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-1453, CVE-2014-3000, CVE-2014-3880.
Ytterligare information:

Flera sårbarheter har upptäckts i FreeBSD-kärnan som kan leda till en överbelastning eller möjligen till avslöjande av kärnans minne. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-1453

    En autentiserad fjärrangripare kunde orsaka att NFS-servern hamnar i ett dödläge, vilket resulterar i en överbelastning.

  • CVE-2014-3000:

    En angripare som kan skicka en serie av speciellt skapade paket med en anslutning kunde orsaka en överbelastningssituation genom att orsaka att kärnan kraschar.

    Utöver detta, eftersom icke definierat stackminne kan skrivas över av andra kärntrådar, medan det fortfarande är svårt, kan det vara möjligt för en angripare att tillverka ett försiktigt skapat angrepp för att få en del av kärnminne via en ansluten socket. Detta kan leda till avslöjande av känslig information så som logininformation, osv. före eller till och med utan att krascha systemet.

  • CVE-2014-3880

    En lokal angripare kan trigga en kärnkrasch (tredubbelt fel) med potentiell dataförlust, relaterat till systemanropen execve/fexecve. Rapporterat av Ivo De Decker.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 9.0-10+deb70.7.

För den instabila utgåvan (Sid) och uttestningsutgåvan (Jessie), har dessa problem rättats i kfreebsd-10 version 10.0-6.

Vi rekommenderar att ni uppgraderar era kfreebsd-9-paket.