Информация по безопасности / 2013 / Информация о безопасности -- DSA-2669-1 linux

Рекомендация Debian по безопасности

DSA-2669-1 linux -- повышение привилегий/отказ в обслуживании/утечка информации

Дата сообщения:

15.05.2013

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-0160, CVE-2013-1796, CVE-2013-1929, CVE-2013-1979, CVE-2013-2015, CVE-2013-2094, CVE-2013-3076, CVE-2013-3222, CVE-2013-3223, CVE-2013-3224, CVE-2013-3225, CVE-2013-3227, CVE-2013-3228, CVE-2013-3229, CVE-2013-3231, CVE-2013-3234, CVE-2013-3235, CVE-2013-3301.

Более подробная информация:

В ядре Linux были обнаружены несколько проблем безопасности, которые могут приводить к отказу в обслуживании, утечке информации или повышению привилегий. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-0160

  vladz сообщил об утечке таймингов с символьным устройством /dev/ptmx. Локальный пользователь может использовать данную уязвимость для определения чувствительной информации, такой как длина пароля.

• CVE-2013-1796

  Эндрю Хониг из Google сообщил о проблеме в подсистеме KVM. Пользователь гостевой операционной системы может повредить память ядра, что приводит к отказу в обслуживании.

• CVE-2013-1929

  Одед Горовиц и Брэд Шпенглер сообщили о проблеме в драйвере устройства для гигабитных сетевых устройств на базе Broadcom Tigon3. Пользователи, имеющие возможность подключить недоверенные устройства, могут создать состояние переполнения, которое приводит к отказу в обслуживании или повышению привилегий.

• CVE-2013-1979

  Энди Лутомирски сообщил о проблеме в подсистеме обработки управляющих сообщений уровня сокета. Локальные пользователи могут получить повышение привилегий.

• CVE-2013-2015

  Теодор Тс предоставил исправление для проблемы в файловой системе ext4. Локальный пользователь, имеющий возможность примонтировать специально созданную файловую систему, может вызвать отказ в обслуживании (бесконечный цикл).

• CVE-2013-2094

  Томми Рантала обнаружил проблему в подсистеме perf. Доступ за пределами массива позволяет локальным пользователям получить повышение привилегий.

• CVE-2013-3076

  Матиас Краузе обнаружил проблему в интерфейсе пространства пользователя для хэш-алгоритмов. Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3222

  Матиас Краузе обнаружил проблему в поддержке протокола режима асинхронной передачи данных (ATM). Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3223

  Матиас Краузе обнаружил проблему в протоколе поддержки Amateur Radio AX.25. Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3224

  Матиас Краузе обнаружил проблему в подсистеме Bluetooth. Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3225

  Матиас Краузе обнаружил проблему в поддержке протокола Bluetooth RFCOMM. Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3227

  Матиам Краузе обнаружил проблему в интерфейсе взаимодействия процессора с процессором приложения (CAIF). Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3228

  Матиас Краузе обнаружил проблему в поддержке подсистемы IrDA (инфракрасные подключения). Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3229

  Матиам Краузе обнаружил проблему в поддержке IUCV на системах s390. Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3231

  Матиас Краузе обнаружил проблему в поддержке протокола ANSI/IEEE 802.2 LLC тип 2. Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3234

  Матиас Краузе обнаружил проблему в поддержке протокола Amateur Radio X.25 PLP (Rose). Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3235

  Матиас Краузе обнаружил проблему в поддержке протокола Transparent Inter Process Communication (TIPC). Локальный пользователь может получить доступ к чувствительной памяти ядра.

• CVE-2013-3301

  Намхун Ким сообщил о проблеме в подсистеме трассировки. Привилегированный локальный пользователь может вызвать отказ в обслуживании (аварийное завершение системы). Данная уязвимость не применима к системам Debian по умолчанию.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 3.2.41-2+deb7u1.

Заметьте: в настоящее время обновления доступны для архитетур amd64, i386, ia64, s390, s390x и sparc. Обновления для оставшихся архитектур будут выпущены по мере их готовности.

Следующая матрица содержит дополнительные пакеты с исходным кодом, которые были собраны заново для обеспечения совместимости или использования особенностей данного обновления:

	Debian 7.0 (wheezy)
user-mode-linux	3.2-2um-1+deb7u1

Рекомендуется обновить пакеты linux-2.6 и user-mode-linux.

Внимание: Debian внимательно отслеживает все известные проблемы безопасности во всех пакетах ядра Linux во всех выпусках, для которых предоставляется поддержка обновлений безопасности. Тем не менее, учитывая то, что проблемы безопасности низкой важности обнаруживаются в ядре довольно часто, а также учитывая ресурсы необходимые для осуществления обновления, обновления проблем с более низким приоритетом, обычно, не будут выпускаться для всех ядер одновременно. Скорее же они будут выпускаться в шахматном порядке или в порядке чехарды.