Рекомендация Debian по безопасности

DSA-3616-1 linux -- обновление безопасности

Дата сообщения:
04.07.2016
Затронутые пакеты:
linux
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 828914.
В каталоге Mitre CVE: CVE-2014-9904, CVE-2016-5728, CVE-2016-5828, CVE-2016-5829, CVE-2016-6130.
Более подробная информация:

В ядре Linux было обнаружено несколько уязвимостей, которые могут приводить к повышению привилегий, отказу в обслуживании или утечкам информации.

  • CVE-2014-9904

    Было обнаружено, что функция snd_compress_check_input, используемая в подсистеме ALSA, неправильно выполняет проверку переполнения целых чисел, что позволяет локальному пользователю вызывать отказ в обслуживании.

  • CVE-2016-5728

    Пенгфай Ванг обнаружил состояние гонки в драйвере MIC VOP, которое может позволить локальному пользователю получить чувствительную информацию из памяти ядра или вызвать отказ в обслуживании.

  • CVE-2016-5828

    Сирил Бур и Майкл Элерман обнаружили уязвимость в коде обработки Transactional Memory в системах с архитектурой powerpc, которая позволяет локальным пользователям вызывать отказ в обслуживании (аварийная остановка ядра) или приводит к другим неопределённым эффектам. Локальные пользователи могут начать транзакцию, приостановить её, а затем вызвать любой системный вызов из класса exec().

  • CVE-2016-5829

    В драйвере hiddev было обнаружено переполнение динамической памяти, позволяющее локальному пользователю вызывать отказ в обслуживании или потенциально повышать свои привилегии.

  • CVE-2016-6130

    Пенгфай Ванг обнаружил уязвимость в драйверах символьных устройств S/390, потенциально приводящую к утечке информации через /dev/sclp.

Кроме того, в данном обновлении исправлена регрессия в ebtables (#828914), которая появилась в DSA-3607-1.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.16.7-ckt25-2+deb8u3.

Рекомендуется обновить пакеты linux.