Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3329-1 linux

Säkerhetsbulletin från Debian

DSA-3329-1 linux -- säkerhetsuppdatering

Rapporterat den:

2015-08-07

Berörda paket:

linux

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-1333, CVE-2015-3212, CVE-2015-4692, CVE-2015-4700, CVE-2015-5364, CVE-2015-5366, CVE-2015-5697, CVE-2015-5706, CVE-2015-5707.

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till utökning av privilegier, överbelastning eller informationsläckage.

• CVE-2015-1333

  Colin Ian King upptäckte en brist i funktionen add_key i Linuxkärnans nyckelringsundersystem. En lokal användare kan exploatera denna brist för att orsaka en överbelastning på grund av minnesförbrukning.

• CVE-2015-3212

  Ji Jianwen från Red Hat Engineering upptäckte en brist i hanteringen av SCTPs automatiska hantera av dynamiska anslutningar med flera hem. En lokal användare kunde använda denna brist för att orsaka en krasch eller potentiellt utökning av privilegier.

• CVE-2015-4692

  En NULL-pekardereferensbrist har upptäckts i funktionen kvm_apic_has_events i KVM-undersystemet. En icke priviligierad lokal användare kunde exploatera denna brist för att krascha systemkärnan resulterande i överbelastning.

• CVE-2015-4700

  Daniel Borkmann upptäckte en brist i Linuxkärnans implementation av Berkeley Paket Filter som kunde användas av en lokal användare för att krascha systemet.

• CVE-2015-5364

  Man har upptäckt att Linuxkärnan inte hanterar ogiltiga UDP-kontrollsummor ordentligt. En fjärrangripare kunde utnyttja denna brist för att orsaka en överbelastning med hjälp av en ström av UDP-paket med ogiltiga kontrollsummor.

• CVE-2015-5366

  Man har upptäckt att Linuxkärnan inte hanterar ogiltiga UDP-kontrollsummor ordentligt. En fjärrangripare kan orsaka en överbelastning mot applikationer som använder epoll genom att injicera ett enda paket med en ogiltig kontrollsumma.

• CVE-2015-5697

  En brist har upptäckts i md-drivrutinen i Linuxkärnan som leder till ett informationsläckage.

• CVE-2015-5706

  En användartriggbar användning efter frigörningssårbarhet i path lookup i Linuxkärnan kunde potentiellt leda till utökning av privilegier.

• CVE-2015-5707

  Ett heltalsspill i generiska SCSI-drivrutinen i Linuxkärnan har upptäckts. En lokal användare med skrivrättigheter på en generisk SCSI-enhet kunde potentiellt exploatera denna brist för utökning av privilegier.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.68-1+deb7u3. CVE-2015-1333, CVE-2015-4692 och CVE-2015-5706 påverkar inte distributionen Wheezy.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.16.7-ckt11-1+deb8u3, utom CVE-2015-5364 och CVE-2015-5366 som redan har rättats i DSA-3313-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.1.3-1 or earlier versions.

Vi rekommenderar att ni uppgraderar era linux-paket.