Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3372-1 linux

Säkerhetsbulletin från Debian

DSA-3372-1 linux -- säkerhetsuppdatering

Rapporterat den:

2015-10-13

Berörda paket:

linux

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-2925, CVE-2015-5257, CVE-2015-5283, CVE-2015-7613.

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till en utökning av privilegier, överbelastning, icke auktoriserat utlämnande av information eller icke auktoriserad modifikation av information.

• CVE-2015-2925

  Jann Horn upptäckte att vid bind-montering av en undermapp av ett filsystem till en chroot eller mount-namnrymd, kunde en användare som skulle behållas i den chrooten eller namnrymden få åtkomst till hela det filsystemet om de hade skrivrättigheter till en förälder av undermappen. Detta är inte en vanlig konfiguration för Wheezy, och problemet har tidigare rättats för Jessie.

• CVE-2015-5257

  Moein Ghasemzadeh från Istuary Innovation Labs rapporterade att en USB-enhet kunde orsaka en överbelastning (krasch) genom att imitera en Whiteheat USB-serialenhet med presentera ett mindre antal slutpunkter.

• CVE-2015-5283

  Marcelo Ricardo Leitner upptäckte att skapande av flera SCTP-sockets på samma gång kunde orsaka en överbelastning (krasch) om sctp-modulen inte hade laddats tidigare. Detta problem påverkar endast jessie.

• CVE-2015-7613

  Dmitry Vyukov upptäckte att System V IPC-objekt (meddelandeköer och segment av delat minne) gjordes tillgängliga innan deras ägarskap och andra attribut hade satts. Om en lokal användare kan tävla mot en annan användare eller tjänst som skapar ett nytt NPC-objekt, kan detta resultera i icke autoriserat utlämnande av information, icke auktoriserad modifikation av information, överbelastning och/eller utökning av privilegier.

  Ett liknande problem existerade i System V semaphore-arrayer, men var mindre allvarligt eftersom de alltid rensas innan de initieras fullständigt.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.68-1+deb7u5.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.16.7-ckt11-1+deb8u5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.2.3-1 or earlier versions.

Vi rekommenderar att ni uppgraderar era linux-paket.