Долгосрочная поддержка Debian / Информация о безопасности LTS / 2015 / Информация о безопасности -- DLA-360-1 linux-2.6

Рекомендация Debian по безопасности

DLA-360-1 linux-2.6 -- обновление безопасности LTS

Дата сообщения:

08.12.2015

Затронутые пакеты:

linux-2.6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-7446, CVE-2015-7799, CVE-2015-7833, CVE-2015-7990, CVE-2015-8324.

Более подробная информация:

В данном обновлении исправлены описанные ниже CVE.

• CVE-2013-7446

  Дмитрий Вьюков обнаружил, что определённая последовательность корректных операций над локальными (AF_UNIX) сокетами может привести к использованию указателей после освобождения памяти. Это может использоваться для вызова отказа в обслуживании (аварийная остановка) или возможного повышения привилегий.

• CVE-2015-7799

  郭永刚 обнаружил, что пользователь, имеющий доступ к /dev/ppp, может вызвать отказ в обслуживании (аварийная остановка) путём передачи некорректных параметров PPPIOCSMAXCID ioctl. Кроме того, это касается нод устройств ISDN PPP.

• CVE-2015-7833

  Сергей Шумило, Хендрик Швартке и Ральф Шпенненберг обнаружили уязвимость в коде для обработки определённых дескрипторов USB-устройств в драйвере usbvision. Злоумышленник, имеющий физический доступ к системе, может использовать эту уязвимость для аварийной остановки системы.

• CVE-2015-7990

  Было обнаружно, что исправление для CVE-2015-6937 неполно. Состояние гонки при отправке сообщения на непривязанный сокет может вызывать разыменование NULL-указателя. Удалённый злоумышленник может вызвать отказ в обслуживании (аварийная остановка) путём отправки специально сформированного пакета.

• CVE-2015-8324

  Valintinr сообщил, что попытка смонтировать повреждённую файловую систему ext4 может приводить к панике ядра. Пользователь, обладающий правами на монтирование файловыми системами, может использовать эту уязвимость для аварийной остановки системы.

В старом предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.6.32-48squeeze17. Рекомендуется обновить пакеты linux-2.6.

В предыдущем стабильном (wheezy) и стабильном (jessie) выпусках CVE-2015-7833, CVE-2015-7990 и CVE-2015-8324 уже были исправлены, а остальные проблемы будут исправлены позже.