Рекомендация Debian по безопасности

DLA-412-1 linux-2.6 -- обновление безопасности LTS

Дата сообщения:
06.02.2016
Затронутые пакеты:
linux-2.6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-7566, CVE-2015-8767, CVE-2015-8785, CVE-2016-0723, CVE-2016-2069.
Более подробная информация:

Данное обновление исправляет описанные ниже CVE.

  • CVE-2015-7566

    Ральф Шпеннеберг из OpenSource Security сообщил, что драйвер visor аварийно завершает свою работу при обнаружении специально сформированного устройства USB, не имеющего конечной точки передачи массива данных.

  • CVE-2015-8767

    Был обнаружен отказ в обслуживании SCTP, который может быть вызван локальным злоумышленником во время события таймаута для периодического контрольного сообщения после 4-стороннего рукопожатия.

  • CVE-2015-8785

    Было обнаружено, что локальные пользователи, имеющие права на запись в файл в файловой системе FUSE, могут вызывать отказ в обслуживании (цикл в ядре, который невозможно принудительно завершить).

  • CVE-2016-0723

    В TIOCGETD ioctl было обнаружено использование указателей после освобождения памяти. Локальный злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании.

  • CVE-2016-2069

    Энди Лутомирски обнаружил состояние гонки в коде для сбрасывания TLB на диск при переключении задач. В системе с SMP это может приводить к аварийным остановкам, утечкам информации или повышению привилегий.

В предыдущем старом стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.6.32-48squeeze19. Кроме того, данная версия включает в себя стабильное обновление из основной ветки разработки, 2.6.32.70. Это последнее обновление пакета linux-2.6 для squeeze.

В предыдущем стабильном выпуске (wheezy) эти проблемы будут исправлены позже.

В стабильном выпуске (jessie) CVE-2015-7566, CVE-2015-8767 и CVE-2016-0723 были исправлены в linux версии 3.16.7-ckt20-1+deb8u3, а остальные проблемы будут исправлены позже.