Debian セキュリティ勧告

DSA-3093-1 linux -- セキュリティ更新

報告日時:

2014-12-08

影響を受けるパッケージ:

linux

危険性:

あり

参考セキュリティデータベース:

詳細:

Linux カーネルに複数の欠陥が発見されました。サービス拒否や特権の昇格につながる可能性があります:

CVE-2014-7841
Red Hat の Liu Wei さんが、ASCONF 実行中のSCTP (ストリーム制御転送プロトコル) サーバが悪意のある INIT chunk により NULL ポインタ参照を引き起こすパニックを発見しています。
CVE-2014-8369
Linux カーネルの kvm_iommu_map_pages() 関数で iommu の割り当て失敗を処理する方法に欠陥が発見されました。ゲストOSのユーザがこの欠陥を悪用してサービス拒否 (ホストOSでのメモリ破壊) を引き起こすことが可能で、潜在的にはホストOSで未知の影響があります。
CVE-2014-8884
スタックベースのバッファオーバーフロー欠陥が TechnoTrend/Hauppauge DEC USB ドライバに発見されました。当該機器に書き込むことのできるローカルユーザがこの欠陥を悪用し、カーネルのクラッシュや、潜在的には権限を昇格させることが可能です。
CVE-2014-9090
Andy Lutomirski さんが、Linux カーネルの arch/x86/kernel/traps.c 中の do_double_fault 関数がスタックセグメント (SS) セグメントレジスタに関わるセグメンテーション違反を適切に処理していないことを発見しています。ローカルユーザにサービス拒否 (パニック) を許します。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.2.63-2+deb7u2 で修正されています。この更新では前の更新により発生したリグレッションも修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.16.7-ckt2-1 で近く修正予定です。

直ちに linux パッケージをアップグレードすることを勧めます。