Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2766-1 linux-2.6

Debians sikkerhedsbulletin

DSA-2766-1 linux-2.6 -- rettighedsforøgelse/lammelsesangreb/informationslækage

Rapporteret den:

27. sep 2013

Berørte pakker:

linux-2.6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-2141, CVE-2013-2164, CVE-2013-2206, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2239, CVE-2013-2851, CVE-2013-2852, CVE-2013-2888, CVE-2013-2892.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, som måske kunne føre til et lammelsesangreb (denial of service), informationslækage eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2013-2141

  Emese Revfy leverede en rettelse til en informationslækage i systemkaldene tkill og tgkill. En lokal bruger på et 64 bit-system, var måske i stand til at få adgang til følsomt hukommelsesindhold.

• CVE-2013-2164

  Jonathan Salwan rapporterede om en informationslækage i CD-ROM-driveren. En lokal bruger på et system med et fejlbehæftet CD-ROM-drev, kunne få adgang til følsom hukommelse.

• CVE-2013-2206

  Karl Heiss rapporterede om et problem i implementeringen af Linux SCTP. En fjernbruger kunne forårsage et lammelsesangreb (systemnedbrud).

• CVE-2013-2232

  Dave Jones og Hannes Frederic Sowa løste et problem i IPv6-undersystemet subsystem. Lokale brugere kunne forårsage et lammelsesangreb ved at anvende en AF_INET6-socket til at forbinde sig til en IPv4-destination.

• CVE-2013-2234

  Mathias Krause rapporterede om en hukommelseslækage i implementeringen af PF_KEYv2-sockets. Lokale brugere kunne få adgang til følsom kernehukommelse.

• CVE-2013-2237

  Nicolas Dichtel rapporterede om en hukommelseslækage i implementeringen af PF_KEYv2-sockets. Lokale brugere kunne få adgang til følsom kernehukommelse.

• CVE-2013-2239

  Jonathan Salwan opdagede flere hukommelseslækager i kernen til openvz. Lokale brugere kunne få adgang til følsom kernehukommelse.

• CVE-2013-2851

  Kees Cook rapporterede om et problem i block-undersystemet. Lokale brugere med uid 0 kunne få forøgede ring 0-rettigheder. Det er kun et sikkerhedsproblem på visse særligt opsatte systemer.

• CVE-2013-2852

  Kees Cook rapporterede om et problem i b43-netværksdriveren til visse trådløse Broadcom-enheder. Lokale brugere med uid 0 kunne få forøgede ring 0-rettigheder. Det er kun et sikkerhedsproblem på visse særligt opsatte systemer.

• CVE-2013-2888

  Kees Cook rapporterede om et problem i HID-driverundersystemet. En lokal bruger med mulighed for at tilslutte en enhed, kunne forårsage et lammelsesangreb (systemnedbrud).

• CVE-2013-2892

  Kees Cook rapporterede om et problem i pantherlord-HID-enhedsdriveren. Lokale brugere med mulighed for at tilslutte en enhed, kunne forårsage et lammelsesangreb eller muligvis få forøgede rettigheder.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.6.32-48squeeze4.

Følgende matriks opremser yderligere kildekodepakker, der blev genopbygget af hensyn til kompabilitet eller for at kunne drage nytte af opdateringen:

	Debian 6.0 (wheezy)
user-mode-linux	2.6.32-1um-4+48squeeze4

Vi anbefaler at du opgraderer dine linux-2.6- og user-mode-linux-pakker.

Bemærk: Debian holder omhyggeligt rede på alle kendte sikkerhedsproblemer på tværs af alle linux-kerne-pakker i alle udgivelser med aktiv sikkerhedsunderstøttelse. Men den store mængde sikkerhedsproblemer af lav prioritet, der opdages i kernen og ressourcekravene til at foretage en opdatering, taget i betragtning, vil problemer af lavere sikkerhedsprioritet typisk ikke blive udgivet til alle kerner på samme tid. I stedet vil de blive opsamlet og udgivet i større klumper.