セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2632-1 linux-2.6

Debian セキュリティ勧告

DSA-2632-1 linux-2.6 -- 特権の昇格/サービス拒否

報告日時:

2013-02-25

影響を受けるパッケージ:

linux-2.6

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-0231, CVE-2013-0871.

詳細:

複数の欠陥が Linux カーネルに発見されました。サービス拒否や特権の昇格につながる可能性があります。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2013-0231

  Jan Beulich さんが Xen PCI バックエンドドライバの問題への修正を提供しています。 パススルーの PCI デバイスを利用しているシステムではレートを制限されないカーネルログメッセージを使っていることにより、 ゲストユーザがそのホストシステムでサービス拒否を起こすことが可能です。

• CVE-2013-0871

  Google の Suleiman Souhlal さんと Salman Qazi さんが、同じく Google の Aaron Durbin さんと Michael Davidson の支援を受け、ptrace サブシステムに問題を発見しました。PTRACE_SETREGS の競合状態のため、 ローカルユーザはカーネルスタックの破損および任意のコードの実行が可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.6.32-48squeeze1 で修正されています。

以下の表で、互換性や、 この更新を利用するために追加で再ビルドされたソースパッケージを提示します。

	Debian 6.0 (squeeze)
user-mode-linux	2.6.32-1um-4+48squeeze1

直ちに linux-2.6 および user-mode-linux パッケージをアップグレードすることを勧めます。