Debians sikkerhedsbulletin
DSA-3616-1 linux -- sikkerhedsopdatering
- Rapporteret den:
- 4. jul 2016
- Berørte pakker:
- linux
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 828914.
I Mitres CVE-ordbog: CVE-2014-9904, CVE-2016-5728, CVE-2016-5828, CVE-2016-5829, CVE-2016-6130. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til en rettighedsforøgelse, lammelsesangreb (denial of service) eller informationsafsløring.
- CVE-2014-9904
Man opdagede at funktionen snd_compress_check_input, der anvendes i ALSA-undersystemet, ikke på korrekt vis kontrollerede for et heltalsoverløb, hvilket gjorde det muligt for en lokal bruger at forårsage et lammelsesangreb.
- CVE-2016-5728
Pengfei Wang opdagede en kapløbstilstand i MIC VOP-driveren, hvilken kunne gøre det muligt for en lokal bruger at få adgang til følsomme oplysninger fra kernehukommelse eller forårsage et lammelsesangreb.
- CVE-2016-5828
Cyril Bur og Michael Ellerman opdagede en fejl i håndteringen af Transactional Memory på powerpc-systemer, hvilket gjorde det muligt for en lokal bruger, at forårsage et lammelsesangreb (kernenedbrud) eller muligvis have anden ikke-angivet virkning, ved at starte en transaktion, suspendere den og dernæst kalde et vilkårligt systemkald af klassen exec().
- CVE-2016-5829
En heapbaseret bufferoverløbssårbarhed blev fundet i hiddev-driveren, hvilken gjorde det muligt for en lokal bruger at forårsage et lammelsesangreb eller potentielt forsøge sine rettigheder.
- CVE-2016-6130
Pengfei Wang opdagede en fejl i S/390's drivere til tegnenheder, potentielt førende til informationslækage med /dev/sclp.
Desuden retter denne opdatering en regression i ebtables-faciliteten (#828914), som opstod i forbindelse med DSA-3607-1.
I den stabile distribution (jessie), er disse problemer rettet i version 3.16.7-ckt25-2+deb8u3.
Vi anbefaler at du opgraderer dine linux-pakker.
- CVE-2014-9904