Информация по безопасности / 2014 / Информация о безопасности -- DSA-3093-1 linux

Рекомендация Debian по безопасности

DSA-3093-1 linux -- обновление безопасности

Дата сообщения:

08.12.2014

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-7841, CVE-2014-8369, CVE-2014-8884, CVE-2014-9090.

Более подробная информация:

В ядре Linux были обнаружены несколько уязвимостей, которые могут приводить к отказу в обслуживании или повышению привилегий:

• CVE-2014-7841

  Лю Вей из Red Hat обнаружил, что сервер SCTP, выполняя ASCONF, переходит в состояние паники при обработке некорректных фрагментов, вызывая разыменование NULL-указателя.

• CVE-2014-8369

  Была обнаружена уязвимость в способе обработки отмеченных iommu ошибок в функции kvm_iommu_map_pages() ядра Linux. Пользователь гостевой операционной системы может использовать данную уязвимость для вызова отказа в обслуживании (повреждение содержимого памяти хост-системы) или для какого-нибудь другого воздействия на хост-систему.

• CVE-2014-8884

  Было обнаружено переполнение стека в USB-драйвере TechnoTrend/Hauppauge DEC. Локальный пользователь с правом на запись на соответствующее устройство может использовать данную уязвимость для аварийного завершения работы ядра или потенциального поднятия своих привилений.

• CVE-2014-9090

  Энди Лутомирский обнаружил, что функций do_double_fault в arch/x86/kernel/traps.c из ядра Linux неправильно обрабатывает ошибки, связанные с сегментным регистром Stack Segment (SS), что позволяет локальным пользователям вызывать отказ в обслуживании (панику).

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.63-2+deb7u2. Данное обновление также включает в себя исправления регрессий, появившихся в предыдущих обновлениях.

В нестабильном выпуске (sid) эти проблемы будут исправлены позже в версии 3.16.7-ckt2-1.

Рекомендуется обновить пакеты linux.