Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-118-1 linux-2.6

Debian セキュリティ勧告

DLA-118-1 linux-2.6 -- LTS セキュリティ更新

報告日時:

2014-12-21

影響を受けるパッケージ:

linux-2.6

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-3185, CVE-2014-3687, CVE-2014-3688, CVE-2014-6410, CVE-2014-7841, CVE-2014-8709, CVE-2014-8884.

詳細:

Squeeze LTS チームとカーネルチームによる非メンテナのアップロードです。

上流の新しい安定版リリース 2.6.32.65 のさらなる情報については http://lkml.org/lkml/2014/12/13/81 を見てください。

安定版リリース 2.6.32.65 では前の 2.6.32-48squeeze9 パッケージと比べて、以下が取り入れられています:

• USB: whiteheat: bulk コマンドの応答に境界チェックを追加 (CVE-2014-3185)
• net: sctp: 複製 ASCONF chunk でのパニックを修正 (CVE-2014-3687)
• net: sctp: リモートからの過剰なキューによるメモリ負荷問題を修正 (CVE-2014-3688)
• udf: 間接 ICB 処理での無限ループを回避 (CVE-2014-6410)
• net: sctp: 悪意のあるパケットによる af->from_addr_param での NULL ポインタ参照を修正 (CVE-2014-7841)
• mac80211: 特に暗号化の断片化したコードを修正 (CVE-2014-8709)
• ttusb-dec: ioctl でのバッファオーバーフロー (CVE-2014-8884)

直ちに linux-2.6 パッケージをアップグレードすることを勧めます。

些細な表面的ミスがありました。申し訳ありません:

以下は debian/changelog では 2.6.32-48squeeze10 で修正されたことになっていますが、実際には 2.6.32-48squeeze9 に取り込まれていました:

• vlan: ダウンしているインターフェイスのフラグの変更を伝搬させないように
• sctp: 2.6.32.62 での不適切なバックポートで生じたメモリの二重開放を修正
• md/raid6: 2.6.32.64 で誤って適用されたバックポートを修正
• block: 欠けていた blk_queue_dead() のチェックを追加
• block: blk_execute_rq_nowait() のデッドキュー処理を修正
• proc connector: proc_exit_connector() 中の不要な memset を削除