Debian セキュリティ勧告
DSA-2632-1 linux-2.6 -- 特権の昇格/サービス拒否
- 報告日時:
- 2013-02-25
- 影響を受けるパッケージ:
- linux-2.6
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2013-0231, CVE-2013-0871.
- 詳細:
-
複数の欠陥が Linux カーネルに発見されました。サービス拒否や特権の昇格につながる可能性があります。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています:
- CVE-2013-0231
Jan Beulich さんが Xen PCI バックエンドドライバの問題への修正を提供しています。 パススルーの PCI デバイスを利用しているシステムではレートを制限されないカーネルログメッセージを使っていることにより、 ゲストユーザがそのホストシステムでサービス拒否を起こすことが可能です。
- CVE-2013-0871
Google の Suleiman Souhlal さんと Salman Qazi さんが、同じく Google の Aaron Durbin さんと Michael Davidson の支援を受け、ptrace サブシステムに問題を発見しました。PTRACE_SETREGS の競合状態のため、 ローカルユーザはカーネルスタックの破損および任意のコードの実行が可能です。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.6.32-48squeeze1 で修正されています。
以下の表で、互換性や、 この更新を利用するために追加で再ビルドされたソースパッケージを提示します。
Debian 6.0 (squeeze) user-mode-linux 2.6.32-1um-4+48squeeze1 直ちに linux-2.6 および user-mode-linux パッケージをアップグレードすることを勧めます。
- CVE-2013-0231