Рекомендация Debian по безопасности

DSA-2928-1 linux-2.6 -- повышение привилегий/отказ в обслуживании/утечка информации

Дата сообщения:
14.05.2014
Затронутые пакеты:
linux-2.6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0196, CVE-2014-1737, CVE-2014-1738.
Более подробная информация:

В ядре Linux были обнаружены несколько уязвимостей, которые могут приводить к отказу в обслуживании, утечке информации или повышению привилегий. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-0196

    Иржи Слаби обнаружил условие гонки в прослойке pty, которое может приводить к отказу в обслуживании или повышению привилегий.

  • CVE-2014-1737 CVE-2014-1738

    Мэтью Дэлей обнаружил, что отсутствие очистки ввода в FDRAWCMD ioctl и утечка информации может приводить к повышению привилегий.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.6.32-48squeeze6.

Следующая таблица содержит список дополнительный пакетов с исходным кодом, которые были собраны заново для обеспечения совместимости с данным обновлением:

  Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze6

Рекомендуется обновить пакеты linux-2.6 и user-mode-linux.

Внимание: Debian внимательно отслеживает все известные проблемы безопасности во все пакетах ядра Linux во всех выпусках, для которых предоставляется поддержка обновлений безопасности. Тем не менее, учитывая то, что проблемы безопасности низкой важности обнаруживаются в ядре довольно часто, а также учитывая ресурсы необходимые для осуществления обновления, обновления проблем с более низким приоритетом, обычно, не будут выпускаться для всех ядер одновременно. Скорее же они будут выпускаться в шахматном порядке или в порядке чехарды.