Debians sikkerhedsbulletin

DSA-3093-1 linux -- sikkerhedsopdatering

Rapporteret den:

8. dec 2014

Berørte pakker:

linux

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-7841, CVE-2014-8369, CVE-2014-8884, CVE-2014-9090.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service) eller rettighedsforøgelse:

CVE-2014-7841
Liu Wei fra Red Hat opdagede at en SCTP-server, som udfører ASCONF, gik i panik ved misdannede INIT-chunks, ved udløsning af en NULL-pointerdereference.
CVE-2014-8369
En fejl blev opdaget i den måde, iommu-mappingfejl blev håndteret i funktionen kvm_iommu_map_pages() i Linux-kernen. En gæstestyresystemsbruger kunne udnytte fejlen til at forårsage et lammelsesangreb (korruption af værtshukommelsen) eller muligvis have andre ikke-angivne virkninger på værtens styresystem.
CVE-2014-8884
En stakbaseret bufferoverløbsfejl blev opdaget i USB-driveren til TechnoTrend/Hauppauge DEC. En lokal bruger med skriveadgang til den tilhørende enhed, kunne udnytte fejlen til at få kernen til at gå ned eller potentielt forøge vedkommendes rettigheder.
CVE-2014-9090
Andy Lutomirski opdagede at funktionen do_double_fault i arch/x86/kernel/traps.c i Linux-kernen, ikke på korrekt vis håndterede fejl med tilknytning til Stack Segment-segmentregisteret (SS), hvilket gjorde det muligt for lokale brugere at forårsage et lammelsesangreb (panik).

I den stabile distribution (wheezy), er disse problemer rettet i version 3.2.63-2+deb7u2. Denne opdatering indeholder også rettelser af regressioner, som er opstået under tidligere opdateringer.

I den ustabile distribution (sid), vil disse problemer snart blive rettet i version 3.16.7-ckt2-1.

Vi anbefaler at du opgraderer dine linux-pakker.