Säkerhetsbulletin från Debian

DSA-2992-1 linux -- säkerhetsuppdatering

Rapporterat den:
2014-07-29
Berörda paket:
linux
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 728705.
I Mitres CVE-förteckning: CVE-2014-3534, CVE-2014-4667, CVE-2014-4943.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till överbelastning eller utökning av privilegier:

  • CVE-2014-3534

    Martin Schwidefsky från IBM upptäckte att undersystemet ptrace inte rengör maskvärdet psw ordentligt. På S390-system kan en opriviligierad lokal användare använda denna brist för att sätta kontrollbitar i addressrymden till kärnrymden och på detta sätt få läs/skriv-åtkomst till kärnminne.

  • CVE-2014-4667

    Gopal Reddy Kodudula från Nokia Siemens Networks upptäckte att funktionen sctp_association_free inte hanterar ett visst backlog-värde ordentligt, vilket tillåter fjärrangripare att orsaka en överbelastning (socket outage) via ett skapat SCTP-paket.

  • CVE-2014-4943

    Sasha Levin upptäckte en brist i Linuxkärnans point-to-point-protokoll (PPP) vid användning med Layer Two Tunneling Protocol (L2TP). En opriviligierad lokal användare kunde använda denna brist för rättighetseskalering.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.60-1+deb7u3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.14.13-2.

Vi rekommenderar att ni uppgraderar era linux-paket.