Рекомендация Debian по безопасности

DSA-2992-1 linux -- обновление безопасности

Дата сообщения:
29.07.2014
Затронутые пакеты:
linux
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 728705.
В каталоге Mitre CVE: CVE-2014-3534, CVE-2014-4667, CVE-2014-4943.
Более подробная информация:

В ядре Linux были обнаружены несколько уязвимостей, которые могут приводить к отказу в обслуживании и повышению привилегий:

  • CVE-2014-3534

    Мартин Швидефски из IBM обнаружил, что подсистема ptrace неправильно очищает значение маски psw. На системах с архитектурой s390 непривилегированный локальный пользователь может использовать данную уязвимость для установки битов, управляющих адресным пространством, на пространство ядра, получив тем самым доступ к памяти ядра с правами на чтение и запись.

  • CVE-2014-4667

    Гопал Редди Кодудула из Nokia Siemens Networks обнаружил, что функция sctp_association_free неправильно обрабатывает определённое значение числа непереданных пакетов, что позволяет удалённым злоумышленникам вызывать отказ в обслуживании (остановка сокета) через специально сформированный пакет SCTP.

  • CVE-2014-4943

    Саша Левин обнаружил уязвимость в протоколе PPP в ядре Linux, которая проявляется при использовании L2TP. Непривилегированный локальный пользователь может использовать данную уязвимость для повышения привилегий.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.60-1+deb7u3.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.14.13-2.

Рекомендуется обновить пакеты linux.