Debians sikkerhedsbulletin
DSA-3093-1 linux -- sikkerhedsopdatering
- Rapporteret den:
- 8. dec 2014
- Berørte pakker:
- linux
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-7841, CVE-2014-8369, CVE-2014-8884, CVE-2014-9090.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse:
- CVE-2014-7841
Liu Wei fra Red Hat opdagede at en SCTP-server, som udfører ASCONF, gik i panik ved misdannede INIT-chunks, ved udløsning af en NULL-pointerdereference.
- CVE-2014-8369
En fejl blev opdaget i den måde, iommu-mappingfejl blev håndteret i funktionen kvm_iommu_map_pages() i Linux-kernen. En gæstestyresystemsbruger kunne udnytte fejlen til at forårsage et lammelsesangreb (korruption af værtshukommelsen) eller muligvis have andre ikke-angivne virkninger på værtens styresystem.
- CVE-2014-8884
En stakbaseret bufferoverløbsfejl blev opdaget i USB-driveren til TechnoTrend/Hauppauge DEC. En lokal bruger med skriveadgang til den tilhørende enhed, kunne udnytte fejlen til at få kernen til at gå ned eller potentielt forøge vedkommendes rettigheder.
- CVE-2014-9090
Andy Lutomirski opdagede at funktionen do_double_fault i arch/x86/kernel/traps.c i Linux-kernen, ikke på korrekt vis håndterede fejl med tilknytning til Stack Segment-segmentregisteret (SS), hvilket gjorde det muligt for lokale brugere at forårsage et lammelsesangreb (panik).
I den stabile distribution (wheezy), er disse problemer rettet i version 3.2.63-2+deb7u2. Denne opdatering indeholder også rettelser af regressioner, som er opstået under tidligere opdateringer.
I den ustabile distribution (sid), vil disse problemer snart blive rettet i version 3.16.7-ckt2-1.
Vi anbefaler at du opgraderer dine linux-pakker.
- CVE-2014-7841