Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2632-1 linux-2.6

Debians sikkerhedsbulletin

DSA-2632-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb

Rapporteret den:

25. feb 2013

Berørte pakker:

linux-2.6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-0231, CVE-2013-0871.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-0231

  Jan Beulich leverede en rettelse til et problem i Xen PCI-backenddriverne. Brugere af gæster på et system som anvender videreførte PCI-enheder, kunne iværksætte et lammelsesangreb på værtssystemet på grund anvendelse af ikke-hyppighedsbegrænsede kernelogmeddelelser.

• CVE-2013-0871

  Suleiman Souhlal og Salman Qazi fra Google, med hjælp fra Aaron Durbin og Michael Davidson fra Google, opdagede et problem i ptrace-undersystemet. På grund af en kapløbstilstand med PTRACE_SETREGS, kunne lokale brugere forårsage korruption af kernestakken og udførelse af vilkårlig kode.

I den stabile distribution (squeeze), er dette problem rettet i version 2.6.32-48squeeze1.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

	Debian 6.0 (squeeze)
user-mode-linux	2.6.32-1um-4+48squeeze1

Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.