Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2928-1 linux-2.6

Debians sikkerhedsbulletin

DSA-2928-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb/informationslækage

Rapporteret den:

14. maj 2014

Berørte pakker:

linux-2.6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-0196, CVE-2014-1737, CVE-2014-1738.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service), informationslækage eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problems:

• CVE-2014-0196

  Jiri Slaby opdagede en kapløbstilstand i pty-laget, hvilket kunne føre til et lammelsesangreb eller rettighedsforøgelse.

• CVE-2014-1737 CVE-2014-1738

  Matthew Daley opdagede en informationslækage og manglende fornuftighedskontrol af inddata i ioctl'en FDRAWCMD i floppy-driveren. Det kunne medføre en rettighedsforøgelse.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.6.32-48squeeze6.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

	Debian 6.0 (squeeze)
user-mode-linux	2.6.32-1um-4+48squeeze6

Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.

Bemærk: Debian holder omhyggeligt rede på alle kendte sikkerhedsproblemer på tværs af alle linux-kerne-pakker i alle udgivelser med aktiv sikkerhedsunderstøttelse. Men den store mængde sikkerhedsproblemer af lav prioritet, der opdages i kernen og ressourcekravene til at foretage en opdatering, taget i betragtning, vil problemer af lavere sikkerhedsprioritet typisk ikke blive udgivet til alle kerner på samme tid. I stedet vil de blive opsamlet og udgivet i større klumper.