Säkerhetsbulletin från Debian

DSA-3093-1 linux -- säkerhetsuppdatering

Rapporterat den:

2014-12-08

Berörda paket:

linux

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2014-7841, CVE-2014-8369, CVE-2014-8884, CVE-2014-9090.

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till överbelastning eller utökning av privilegier:

CVE-2014-7841
Liu Wei från Red Hat upptäckte att en SCTP-server som utför ASCONF kommer att krascha på grund av felaktigt formaterade INIT-bitar genom att trigga en NULL-pekardereferens.
CVE-2014-8369
En brist har upptäckts i sättet som misslyckanden av iommu-mappning hanteras i funktionen kvm_iommu_map_pages() i Linuxkärnan. En användare av ett gästoperativsystem kunde exploatera denna brist för att orsaka en överbelastning (minneskorruption i värdsystemet) eller möjligtvis annan inverkan på värdsystemet.
CVE-2014-8884
Ett stackbaserat buffertspill har upptäckts i drivrutinen för TechnoTrend/Hauppauge DEC USB. En lokal användare med skrivrättigheter till motsvarande enhet kunde använda denna brist för att krascha kärnan, eller potentiellt öka sina rättigheter.
CVE-2014-9090
Andy Lutomirski upptäckte att funktionen do_double_fault i arch/x86/kernel/traps.c i Linuxkärnan inte hanterade fel som associerades med segmentregistret Stack Segment (SS) ordentligt, vilket tillåter lokala användare att orsaka en överbelastning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.63-2+deb7u2. Denna uppdatering inkluderar även rättningar för regressioner som introducerats i tidigare uppdateringar.

För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort i version 3.16.7-ckt2-1.

Vi rekommenderar att ni uppgraderar era linux-paket.