Debians sikkerhedsbulletin

DSA-3616-1 linux -- sikkerhedsopdatering

Rapporteret den:
4. jul 2016
Berørte pakker:
linux
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 828914.
I Mitres CVE-ordbog: CVE-2014-9904, CVE-2016-5728, CVE-2016-5828, CVE-2016-5829, CVE-2016-6130.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til en rettighedsforøgelse, lammelsesangreb (denial of service) eller informationsafsløring.

  • CVE-2014-9904

    Man opdagede at funktionen snd_compress_check_input, der anvendes i ALSA-undersystemet, ikke på korrekt vis kontrollerede for et heltalsoverløb, hvilket gjorde det muligt for en lokal bruger at forårsage et lammelsesangreb.

  • CVE-2016-5728

    Pengfei Wang opdagede en kapløbstilstand i MIC VOP-driveren, hvilken kunne gøre det muligt for en lokal bruger at få adgang til følsomme oplysninger fra kernehukommelse eller forårsage et lammelsesangreb.

  • CVE-2016-5828

    Cyril Bur og Michael Ellerman opdagede en fejl i håndteringen af Transactional Memory på powerpc-systemer, hvilket gjorde det muligt for en lokal bruger, at forårsage et lammelsesangreb (kernenedbrud) eller muligvis have anden ikke-angivet virkning, ved at starte en transaktion, suspendere den og dernæst kalde et vilkårligt systemkald af klassen exec().

  • CVE-2016-5829

    En heapbaseret bufferoverløbssårbarhed blev fundet i hiddev-driveren, hvilken gjorde det muligt for en lokal bruger at forårsage et lammelsesangreb eller potentielt forsøge sine rettigheder.

  • CVE-2016-6130

    Pengfei Wang opdagede en fejl i S/390's drivere til tegnenheder, potentielt førende til informationslækage med /dev/sclp.

Desuden retter denne opdatering en regression i ebtables-faciliteten (#828914), som opstod i forbindelse med DSA-3607-1.

I den stabile distribution (jessie), er disse problemer rettet i version 3.16.7-ckt25-2+deb8u3.

Vi anbefaler at du opgraderer dine linux-pakker.