Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-3060-1 linux

Säkerhetsbulletin från Debian

DSA-3060-1 linux -- säkerhetsuppdatering

Rapporterat den:

2014-10-31

Berörda paket:

linux

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 766195.
I Mitres CVE-förteckning: CVE-2014-3610, CVE-2014-3611, CVE-2014-3645, CVE-2014-3646, CVE-2014-3647, CVE-2014-3673, CVE-2014-3687, CVE-2014-3688, CVE-2014-3690, CVE-2014-7207.

Ytterligare information:

Flera sårbarheter som kan leda till överbelastning har upptäckts i Linuxkärnan:

• CVE-2014-3610

  Lars Bull från Google och Nadav Amit rapporterade en brist i hur KVM hanterar icke-kanoniska skrivningar till vissa MSR-register. En priviligierad gäst kunde exploatera denna brist för att orsaka en överbelastning (kernel panic) av värden.

• CVE-2014-3611

  Lars Bull från Google rapporterade en kapplöpningseffekt i PIT-emuleringskoden i KVM. En lokal användare med åtkomst till PIT i/o-portar kunde exploatera denna brist för att orsaka en överbelastning (krasch) av värden.

• CVE-2014-3645 / CVE-2014-3646

  Advanced Threat Research-gruppen på Intel Security upptäckte att undersystemet KVM inte hanterade VM-avslut korrekt för invept- (Invalidate Translations Derived from EPT) och invvpid- (Invalidate Translations Based on VPID) intruktionerna. På värdar med en Intel-processor och invept/invppid VM-avslutstöd kan en opriviligierad användare använda dessa instruktioner för att krascha systemet.

• CVE-2014-3647

  Nadav Amit rapporterade att KVM hanterar icke-kanoniska adresser felaktigt när det emulerar instruktioner som förändrar rip, vilket potentiellt orsakar ett misslyckat VM-fält. En gästanvändare med åtkomst till I/O eller MMIO kan använda denna brist för att orsaka en överbelastning (krasch) av gästen.

• CVE-2014-3673

  Liu Wei från Red hat upptäckte en brist i net/core/skbuff.c som leder till en kärnpanik vid mottagning av felaktigt formaterade ASCONF-klumpar. En fjärrangripare kunde utnyttja denna brist för att krascha systemet.

• CVE-2014-3687

  En brist i sctp-stacken har upptäckts som leder till en kernelpanic när den mottar flera ASCONF-klumpar. En fjärrangripare kunde använda denna brist för att krascha systemet.

• CVE-2014-3688

  Det upptäcktes att sctp-stacken är sårbar för en på avstånd triggningsbar minnestrycksproblem orsakat av överdriven köläggning. En fjärrangripare kunde använda denna brist för att orsaka överbelastningsförhållanden på systemet.

• CVE-2014-3690

  Andy Lutomirski upptäckte att felaktig registerhantering i KVM kan leda till överbelastning.

• CVE-2014-7207

  Flera Debianutvecklare rapporterade ett problem i undersystemet för IPv6-nätverk. En lokal användare med åtkomst till tun- eller macvtap-enheter, eller en virtuell maskin som är ansluten till en sådan enhet, kan orsaka en överbelastning (systemkrasch).

Denna uppdatering inkluderar en felrättning relaterat till CVE-2014-7207 som inaktiverar UFO (UDP Fragmentation Offload) i macvtap, tun, och virtio_net-drivrutinerna. Detta kommer att orsaka migration från en körande VM från en host som kör en tidigare kärna till en host som kör denna kärna att misslyckas, om den virtuella maskinen har tilldelats en virtio-nätverksenhet. För att migrera en sådan VM, måste den stängas ner först.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.63-2+deb7u1.

Vi rekommenderar att ni uppgraderar era linux-paket.