Debians sikkerhedsbulletin

DLA-378-1 linux-2.6 -- LTS-sikkerhedsopdatering

Rapporteret den:
5. jan 2016
Berørte pakker:
linux-2.6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-7550, CVE-2015-8543, CVE-2015-8575.
Yderligere oplysninger:

Denne opdatering retter de herunder beskrevne CVE'er.

  • CVE-2015-7550

    Dmitry Vyukov opdagede en kapløbstilstand i keyring-undersystemet, hvilket gjorde det muligt for en lokal bruger at forårsage et lammelsesangreb (nedbrud).

  • CVE-2015-8543

    Man opdagede at en lokal bruger havde rettigheder til at oprette rå sockets, kunne medføre et lammelsesangreb ved at angive en ugyldigt protokolnummer til en socket. Angriberen skulle have muligheden CAP_NET_RAW.

  • CVE-2015-8575

    David Miller opdagede en fejl i implementeringen af Bluetooth SCO-sockets, hvilket førte til en informationslækage til lokale brugere.

Desuden retter denne opdatering en regression fra den foregående opdatering:

#808293

En regression i UDP-implementeringen forhindrede freeradius og nogle andre applikationer i at modtage data.

I den gamle, gamle stabile distribution (squeeze), er disse problemer rettet i version 2.6.32-48squeeze18.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 3.2.73-2+deb7u2.

I den stabile distribution (jessie), er disse problemer rettet i version 3.16.7-ckt20-1+deb8u2 eller tidligere.