Bemærk: Originalen er nyere end denne oversættelse.

Debians sikkerhedsbulletin

DSA-5161-1 linux -- sikkerhedsopdatering

Rapporteret den:
11. jun 2022
Berørte pakker:
linux
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2022-0494, CVE-2022-0854, CVE-2022-1012, CVE-2022-1729, CVE-2022-1786, CVE-2022-1789, CVE-2022-1852, CVE-2022-32250, CVE-2022-1972, CVE-2022-1974, CVE-2022-1975, CVE-2022-21499, CVE-2022-28893.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til en rettighedsforøgelse, lammelsesangreb eller informationslækager.

  • CVE-2022-0494

    scsi_ioctl() var sårbar over for en informationslækage, der kun kunne udnyttes af brugere med kapabiliteterne CAP_SYS_ADMIN eller CAP_SYS_RAWIO.

  • CVE-2022-0854

    Ali Haider opdagede en potentiel informationslækage i undersystemet DMA. På systemer hvor funktionaliteten swiotlb er nødvendig, kunne det være muligt for en lokal bruger at læse følsomme oplysninger.

  • CVE-2022-1012

    Randomiseringen ved beregning af port-offset i IP-implementeringen blev forbedret.

  • CVE-2022-1729

    Norbert Slusarek opdagede en kapløbstilstand i undersystemet perf, hvilken kunne medføre lokal rettighedsforøgelse til root. Standardopsætningen i Debian forhindrer udnyttelse af fejlen, med mindre eftergivende indstillinger er taget i anvendelse i kernel.perf_event_paranoid sysctl.

  • CVE-2022-1786

    Kyle Zeng opdagede en anvendelse efter frigivelse i undersystemet io_uring, hvilke kunne medføre lokal rettighedsforøgelse til root.

  • CVE-2022-1789 / CVE-2022-1852

    Yongkang Jia, Gaoning Pan og Qiuhao Li opdagede to NULL-pointer-dereferencer i KVM's håndtering af CPU-instruktioner, medførende lammelsesangreb.

  • CVE-2022-32250

    Aaron Adams opdagede en anvendelse efter frigivelse i Netfilter, hvilken kunne medføre lokal rettighedsforøgelse til root.

  • CVE-2022-1972

    Ziming Zhang opdagede en skrivning udenfor grænserne i Netfilter, hvilken kunne medføre lokal rettighedsforøgelse til root.

  • CVE-2022-1974 / CVE-2022-1975

    Duoming Zhou opdagede at NFC netlink-grænsefladen var sårbar over for lammelsesangreb.

  • CVE-2022-21499

    Man opdagede at kernedebuggeren kunne anvendes til at omgå UEFI Secure Boot-begrænsninger.

  • CVE-2022-28893

    Felix Fu opdagede en anvendelse efter frigivelse i implmenteringen af protokollen Remote Procedure Call (SunRPC), hvilken kunne medføre lammelsesangreb eller en informationslækage.

I den stabile distribution (bullseye), er disse problemer rettet i version 5.10.120-1.

Vi anbefaler at du opgraderer dine linux-pakker.

For detaljeret sikkerhedsstatus vedrørende linux, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/linux