Debian セキュリティ勧告

DSA-2992-1 linux -- セキュリティ更新

報告日時:
2014-07-29
影響を受けるパッケージ:
linux
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 728705.
Mitre の CVE 辞書: CVE-2014-3534, CVE-2014-4667, CVE-2014-4943.
詳細:

複数の欠陥が Linux カーネルに発見されました。 サービス拒否や特権の昇格につながる可能性があります:

  • CVE-2014-3534

    IBMの Martin Schwidefsky さんが、ptrace サブシステムが psw mask 値を適切にサニタイズしていないことを発見しました。s390 システムでは、権限のないローカルユーザがこの欠陥を悪用してアドレス空間制御ビットにカーネル空間の組み合わせをセットし、 カーネルメモリへの読み書き権限を獲得することが可能です。

  • CVE-2014-4667

    Nokia Siemens Networks の Gopal Reddy Kodudula さんが、sctp_association_free 関数が特定のバックログ値を適切に管理していないことを発見しました。細工した SCTP パケットを経由したサービス拒否 (socket outage) をリモートの攻撃者に許します。

  • CVE-2014-4943

    Sasha Levin さんが Linux カーネルのPPPプロトコルをレイヤー2トンネリングプロトコル (L2TP) とともに利用した場合の欠陥を発見しました。 権限のないローカルユーザがこの欠陥を悪用することで特権の昇格が可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.2.60-1+deb7u3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.14.13-2 で修正されています。

直ちに linux パッケージをアップグレードすることを勧めます。