Информация по безопасности / 2014 / Информация о безопасности -- DSA-3060-1 linux

Рекомендация Debian по безопасности

DSA-3060-1 linux -- обновление безопасности

Дата сообщения:

31.10.2014

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 766195.
В каталоге Mitre CVE: CVE-2014-3610, CVE-2014-3611, CVE-2014-3645, CVE-2014-3646, CVE-2014-3647, CVE-2014-3673, CVE-2014-3687, CVE-2014-3688, CVE-2014-3690, CVE-2014-7207.

Более подробная информация:

В ядре Linux обнаружены несколько уязвимостей, которые могут приводить к отказу в обслуживании:

• CVE-2014-3610

  Ларс Балл из Google и Надав Амит сообщили об уязвимости в способе, используемом KVM для обработки неканонических записей в определённые регистры MSR. Привилегированный гостевой пользователь может использовать данную уязвимость для вызова отказа в обслуживании (паника ядра) на хост-машине.

• CVE-2014-3611

  Ларс Балл из Google сообщил о состоянии гонки в коде для эмуляции PIT в KVM. Локальный пользователь с правами гостя и доступом к портам ввода-вывода PIT может использовать данную уязвимость для вызова отказа в обслуживании (аварийная остановка) на хост-машине.

• CVE-2014-3645 / CVE-2014-3646

  Команда Advanced Threat Research из Intel Security обнаружила, что подсистема KVM неправильно обрабатывает выходы виртуальной машины на предмет инструкций invept (Invalidate Translations Derived из EPT) и invvpid (Invalidate Translations Based на VPID). На хост-машинах с процессором Intel и поддержкой выходов invept/invppid непривилегированный пользователь с гостевыми правами может использовать указанные инструкции для аварийного завершения работы гостевой системы.

• CVE-2014-3647

  Надав Амит сообщил, что KVM неправильно обрабатывает неканонические адреса при эмуляции инструкций по изменению rip, что может вызывать неправильную работы виртуальной машины. Гостевой пользователь с доступом к вводу-выводу или MMIO может использовать данную уязвимость для вызова отказа в обслуживании (аварийная остановка работы системы) на гостевой системе.

• CVE-2014-3673

  Лю Вей из Red Hat обнаружил уязвимость в net/core/skbuff.c, приводящую к панике ядра при получении некорректного фрагмента ASCONF. Удалённый злоумышленник может использовать данную уязвимость для аварийной остановки работы системы.

• CVE-2014-3687

  Была обнаружена уязвимость в стеке sctp, приводящая к панике ядра в случае получения дублирующего фрагмента ASCONF. Удалённый злоумышленник может использовать данную уязвимость для аварийной остановки работы системы.

• CVE-2014-3688

  Было обнаружено, что стек sctp при определённых условиях и удалённом обращении потреблять чрезмерный объём памяти из-за большого размера очереди. Удалённый злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании в системе.

• CVE-2014-3690

  Энди Лутомирски обнаружил, что некорректная обработка регистров в KVM может приводить к отказу в обслуживании.

• CVE-2014-7207

  Несколько разработчиков Debian сообщили о проблеме в подсистеме поддержки сети IPv6. Локальный пользователь с доступом к устройствам tun или macvtap, либо виртуальная машина, подключенная к одному из таких устройств могут вызывать отказ в обслуживании (аварийная остановка системы).

Данное обновление включает в себя исправление ошибки, связанной с CVE-2014-7207, отключающее UFO (UDP Fragmentation Offload) в драйверах macvtap, tun и virtio_net. Это приведёт к невозможности миграции виртуальных машин, работающих на хост- машинах с ядрами более ранней версии, на хост-машины с данной версией ядра в случае, если такой виртуальной машине было назначено сетевой устройство virtio. Для миграции подобной виртуальной машины её для начала следует отключить.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.63-2+deb7u1.

Рекомендуется обновить пакеты linux.