Debians sikkerhedsbulletin

DLA-412-1 linux-2.6 -- LTS-sikkerhedsopdatering

Rapporteret den:
6. feb 2016
Berørte pakker:
linux-2.6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-7566, CVE-2015-8767, CVE-2015-8785, CVE-2016-0723, CVE-2016-2069.
Yderligere oplysninger:

Denne opdatering retter de herunder beskrevne CVE'er.

  • CVE-2015-7566

    Ralf Spenneberg fra OpenSource Security rapporterede at visordriveren gik ned når en særligt fremstillet USB-enhed uden bulk-out-endpoint blev opdaget.

  • CVE-2015-8767

    Et SCTP-lammelsesangreb blev opdaget, hvilket kunne udløses af en lokal angriber under en heartbeattimeoutevent efter det firesidede handshake.

  • CVE-2015-8785

    Man opdagede at lokale brugere med rettigheder til at skrive til en fil på et FUSE-filsystem, kunne forårsage et lammelsesangreb (ikke-dræbbar løkke i kernen).

  • CVE-2016-0723

    En sårbarhed i forbindelse med anvendelse efter frigivelse blev opdaget i ioctl'en TIOCGETD. En lokal angriber kunne udnytte fejlen til et lammelsesangreb.

  • CVE-2016-2069

    Andy Lutomirski opdagede en kapløbstilstand i tømning af TLB'en når der blev skiftet opgave. På et SMP-system kunne det muligvis føre til et nedbrud, informationslækage eller rettighedsforøgelse.

I den gamle, gamle stabile distribution (squeeze), er disse problemer rettet i version 2.6.32-48squeeze19. Desuden indeholder denne version opstrøms stabile opdatering 2.6.32.70. Dette er den sidste opdatering af linux-2.6-pakken i squeeze.

I den gamle stabile distribution (wheezy), vil disse problemer snart blive rettet.

I den stabile distribution (jessie), blev CVE-2015-7566, CVE-2015-8767 og CVE-2016-0723 rettet i linux version 3.16.7-ckt20-1+deb8u3 og de tilbageværende problemer vil snart blive rettet.