Рекомендация Debian по безопасности

DLA-325-1 linux-2.6 -- обновление безопасности LTS

Дата сообщения:
12.10.2015
Затронутые пакеты:
linux-2.6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2925, CVE-2015-5257, CVE-2015-7613.
Более подробная информация:

Данное обновление исправляет описанные ниже CVE.

  • CVE-2015-2925

    Янн Хорн обнаружил, что если подкаталог файловой системы смонтирован с опцией bind в окружение chroot или пространство имён монтирования, то пользователь, который должен быть ограничен этим окружением chroot или пространством имён, может получить доступ ко всей файловой системе в том случае, если он имеет права на запись в родительский каталог указанного подкаталога. Это не является общей настройкой для данной версии ядра.

  • CVE-2015-5257

    Моэин Гасемзаде из Istuary Innovation Labs сообщил, что USB-устройство может вызвать отказ в обслуживании (аварийная остановка) путём имитации последовательного USB-устройства Whiteheat, но представляет меньшее число конечных точек.

  • CVE-2015-7613

    Дмитрий Вьюков обнаружил, что IPC-объекты System V (очереди сообщений и сегменты разделяемой памяти) становятся доступными до полной инициализации их принадлежности и других атрибутов. Если локальный пользователь может вступить в гонку с другим пользователем или службой, создавая новый IPC-объект, то это может приводить к неавторизованному раскрытию информации, неавторизованному изменению информации, отказу в обслуживании и/или повышению привилегий.

    Сходная проблема имеет место с массивами семафоров System V, но она менее серьёзна, так как эти массивы всегда очищаются до их полной инициализации.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.6.32-48squeeze16.

В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены в версии 3.2.68-1+deb7u5.

В стабильном выпуске (jessie) эти проблемы будут исправлены в версии 3.16.7-ckt11-1+deb8u5, либо уже были исправлены ранее.