Säkerhetsbulletin från Debian

DSA-3616-1 linux -- säkerhetsuppdatering

Rapporterat den:
2016-07-04
Berörda paket:
linux
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 828914.
I Mitres CVE-förteckning: CVE-2014-9904, CVE-2016-5728, CVE-2016-5828, CVE-2016-5829, CVE-2016-6130.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan vilket kan leda till utökning av privilegier, överbelastning eller informationsläckage.

  • CVE-2014-9904

    Man har upptäckt att funktionen snd_compress_check_input som används i undersystemet ALSA inte kontrollerar efter heltalsspill, vilket tillåter en lokal användare att orsaka en överbelastning.

  • CVE-2016-5728

    Pengfei Wang upptäckte en kapplöpningseffekt i MIC VOP-drivrutinen som kan tillåta en lokal användare att få känslig information från kärnminne eller orsaka en överbelastning.

  • CVE-2016-5828

    Cyril Bur och Michael Ellerman upptäckte en brist i hanteringen av Transactional Memory på powerpc-system vilket tillåter en lokal användare att orsaka en överbelastning (kärnkrasch) eller möjligen andra ospecificerade effekt, genom att starta en transaktion, uppehålla den och sedan anropa något av systemanropen av exec()-klass.

  • CVE-2016-5829

    Ett heapbaserat buffertspillssårbarhet har upptäckts i hiddev-drivrutinen, vilket tillåter en lokal användare att orsaka en överbelastning eller, potentiellt öka deras rättigheter.

  • CVE-2016-6130

    Pengfei Wang upptäckte en brist i S/390-teckendrivrutinerna vilket potentiellt kan leda till informationsläckage med /dev/sclp.

Utöver detta rättar denna uppdatering en regression i ebtables-funktionaliteten (#828914) som introducerades i DSA-3607-1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.16.7-ckt25-2+deb8u3.

Vi rekommenderar att ni uppgraderar era linux-paket.