Debians sikkerhedsbulletin
DSA-2632-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb
- Rapporteret den:
- 25. feb 2013
- Berørte pakker:
- linux-2.6
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-0231, CVE-2013-0871.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-0231
Jan Beulich leverede en rettelse til et problem i Xen PCI-backenddriverne. Brugere af gæster på et system som anvender videreførte PCI-enheder, kunne iværksætte et lammelsesangreb på værtssystemet på grund anvendelse af ikke-hyppighedsbegrænsede kernelogmeddelelser.
- CVE-2013-0871
Suleiman Souhlal og Salman Qazi fra Google, med hjælp fra Aaron Durbin og Michael Davidson fra Google, opdagede et problem i ptrace-undersystemet. På grund af en kapløbstilstand med PTRACE_SETREGS, kunne lokale brugere forårsage korruption af kernestakken og udførelse af vilkårlig kode.
I den stabile distribution (squeeze), er dette problem rettet i version 2.6.32-48squeeze1.
Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:
Debian 6.0 (squeeze) user-mode-linux 2.6.32-1um-4+48squeeze1 Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.
- CVE-2013-0231