Debians sikkerhedsbulletin

DSA-4667-1 linux -- sikkerhedsopdatering

Rapporteret den:
28. apr 2020
Berørte pakker:
linux
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2020-2732, CVE-2020-8428, CVE-2020-10942, CVE-2020-11565, CVE-2020-11884.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til en rettighedsforøgelse, lammelsesangreb eller informationslækage.

  • CVE-2020-2732

    Paulo Bonzini opdagede at KVM-implementateringen for Intel-processorer ikke på korrekt vis håndterede instruktionsemulering ved L2-gæster med aktiveret indlejret virtualisering. Dermed kunne det være muligt for en L2-gæst at forårsage rettighedsforøgelse, lammelsesangreb eller informationslækage i L1-gæsten.

  • CVE-2020-8428

    Al Viro opdagede en sårbarhed i forbindelse med anvendelse efter frigivelse i VFS-laget. Dermed kunne lokale brugere forårsage et lammelsesangreb (nedbrud) eller få adgang til følsomme oplysninger fra kernehukommelse.

  • CVE-2020-10942

    Man opdagede at driveren vhost_net validerede ikke på korrekt vis sockettyper opsat som backend'er. En lokal bruger med rettigheder til at tilgå /dev/vhost-net kunne anvende dette til at forårsage stakkorruption gennem fabrikerede systemkald, medførende lammelsesangreb (nedbrud) eller muligvis rettighedsforøgelse.

  • CVE-2020-11565

    Entropy Moe rapporterede at del hukommelse-filsystemet (tmpfs) håndterede ikke på korrekt vis en mpol-mountvalgmulighed med angivelse af en tom nodeliste, førende til en stakbaseret skrivning udenfor grænserne. Hvis brugernavnerum er aktiveret, kunne en lokal bruger udnytte dette til at forårsage et lammelsesangreb (nedbrud) eller muligvis rettighedsforøgelse.

  • CVE-2020-11884

    Al Viro rapporterede om en kapløbstilstand i hukommelseshåndteringen for IBM Z (s390x-arkitekturen), hvilket kunne medføre at kernen udførte kode fra et brugeradresserum. En lokal bruger kunne udnytte dette til rettighedsforøgelse.

I den stabile distribution (buster), er disse problemer rettet i version 4.19.98-1+deb10u1.

Vi anbefaler at du opgraderer dine linux-pakker.

For detaljeret sikkerhedsstatus vedrørende linux, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/linux