Debian セキュリティ勧告

DSA-2766-1 linux-2.6 -- 特権の昇格/サービス拒否/情報漏洩

報告日時:
2013-09-27
影響を受けるパッケージ:
linux-2.6
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-2141, CVE-2013-2164, CVE-2013-2206, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2239, CVE-2013-2851, CVE-2013-2852, CVE-2013-2888, CVE-2013-2892.
詳細:

Linux カーネルに複数の欠陥が発見されました。サービス拒否や情報漏洩、 特権の昇格につながる可能性があります。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-2141

    Emese Revfy さんが、tkill 及び tgkill システムコールの情報漏洩に対するの修正を提供しています。 64ビットシステムのローカルユーザが機密メモリの内容への アクセス権限を獲得できる可能性があります。

  • CVE-2013-2164

    Jonathan Salwan さんが CD-ROM ドライバの情報漏洩を報告しています。誤動作する CD-ROM ドライブを接続しているシステムのローカルユーザが機密のメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2206

    Karl Heiss さんが Linux SCTP 実装にある問題を報告しています。 リモートのユーザがサービス拒否 (システムのクラッシュ) を引き起こすことが可能です。

  • CVE-2013-2232

    Dave Jones さんと Hannes Frederic Sowa さんが IPv6 サブシステムの問題を解決しています。ローカルユーザが AF_INET6 ソケットを使って IPv4 の対象に接続することでサービス拒否を引き起こすことが可能です。

  • CVE-2013-2234

    Mathias Krause さんが PF_KEYv2 ソケットの実装にメモリ漏洩をを報告しています。 ローカルユーザが機密のカーネルメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2237

    Nicolas Dichtel さんが PF_KEYv2 ソケットの実装にメモリ漏洩をを報告しています。 ローカルユーザが機密のカーネルメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2239

    Jonathan Salwan さんが openvz 向けカーネルにメモリ漏洩を複数発見しました。 ローカルユーザが機密のカーネルメモリへの アクセス権限を獲得する可能性があります。

  • CVE-2013-2851

    Kees Cook さんが block サブシステムにある問題を報告しています。昇格した ring 0 権限を uid が 0 のローカルユーザが獲得する可能性があります。 これは特別に設定された一部のシステムでのみセキュリティ問題となります。

  • CVE-2013-2852

    Kees Cook さんが、特定の Broadcom 無線機器向けの b43 ネットワークドライバにある問題を報告しています。昇格した ring 0 権限を uid が 0 のローカルユーザが獲得する可能性があります。 これは特別に設定された一部のシステムでのみセキュリティ問題となります。

  • CVE-2013-2888

    Kees Cook さんが HID ドライバサブシステムにある問題を報告しています。 機器を接続できるローカルユーザがサービス拒否 (システムのクラッシュ) を引き起こすことが可能です。

  • CVE-2013-2892

    Kees Cook さんが pantherlord HID デバイスドライバにある問題を報告しています。 機器を接続できるローカルユーザがサービス拒否を引き起こすことが可能で、 潜在的には昇格した権限を獲得する可能性があります。

旧安定版 (old stable) ディストリビューション (squeeze) では、この問題はバージョン 2.6.32-48squeeze4 で修正されています。

以下の表で、互換性や、 この更新を利用するために追加で再ビルドされたソースパッケージを提示します:

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze4

直ちに linux-2.6 及び user-mode-linux パッケージをアップグレードすることを勧めます。

注意: Debian は積極的なセキュリティサポートの下、全リリースの linux カーネルパッケージの既知のセキュリティ問題を全て注意深く追跡しています。 しかし、重要度の低いセキュリティ問題がカーネルに高頻度で発見されることと その更新に必要となるリソースの観点から、 優先度の低い問題の更新では通常全カーネルが同時にはリリースされません。 その場合は千鳥足あるいは交互前進のように別個にリリースされます。