Säkerhetsbulletin från Debian

DSA-2766-1 linux-2.6 -- utökning av privilegier/överbelastning/informationsläckage

Rapporterat den:
2013-09-27
Berörda paket:
linux-2.6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-2141, CVE-2013-2164, CVE-2013-2206, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2239, CVE-2013-2851, CVE-2013-2852, CVE-2013-2888, CVE-2013-2892.
Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till överbelastning, informationsläckage eller utökning av privilegier. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-2141

    Emese Revfy tillhandahöll en rättning för ett informationsläckage i systemanropen tkill och tgkill. En lokal användare på ett 64-bitarssystem kan få tillgång till känsligt minnesinnehåll.

  • CVE-2013-2164

    Jonathan Salwan rapporterade ett informationsläckage i CD-ROM-drivrutinen. En lokal användare på ett system med en trasig CD-ROM-spelare kunde få tillgång till känslig information.

  • CVE-2013-2206

    Karl Heiss rapporterade ett problem i Linux implementation av SCTP. En fjärranvändare kunde orsaka en överbelastning (systemkrasch).

  • CVE-2013-2232

    Dave Jones och Hannes Frederic Sowa löste ett problem i undersystemet IPv6. Lokala användare kunde orsaka en överbelastning genom att använda en AF_INET6 socket för att ansluta till en IPv4-destination.

  • CVE-2013-2234

    Mathias Krause rapporterade ett minnesläckage i implementationen av PF_KEYv2-sockets. Lokala användare kunde få tillgång till känsligt kärnminne.

  • CVE-2013-2237

    Nicholas Dichtel rapporterade ett minnesläckage i implementationen av PF_KEYv2-sockets. Lokala användare kunde få tillgång till känsligt kärnminne.

  • CVE-2013-2239

    Jonathan Salwan upptäckte flera minnesläckage i openvz-kärnan. Lokala användare kunde få tillgång till känsligt kärnminne.

  • CVE-2013-2851

    Kees Cook rapporterade ett problem i block-undersystemet. Lokala användare med uid 0 kunde få förökade ring-0-privilegier. Detta är endast ett säkerhetsproblem för vissa speciellt konfigurerade system.

  • CVE-2013-2852

    Kees Cook rapporterade ett problem i nätverksdrivrutinen b43 för vissa trådlösa Broadcomenheter. Lokala användare med uid 0 kunde få tillgång till förhöjde ring-0-privilegier. Detta är endast ett säkerhetsproblem för vissa speciellt konfigurerade system.

  • CVE-2013-2888

    Kees Cook rapporterade ett problem i undersystemet för HID-drivrutiner. En lokal användare med möjlighet att koppla in en enhet kunde orsaka en överbelastning (systemkrasch).

  • CVE-2013-2892

    Kees Cook rapporterade ett problem i HID-enhetsdrivrutinen pantherlord. Lokala användare med möjlighet att ansluta en enhet kunde orsaka en överbelastning eller möjligen få utökade privilegier.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.6.32-48squeeze4.

Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:

  Debian 6.0 (Squeeze)
user-mode-linux 2.6.32-1um-4+48squeeze4

Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.

Notera: Debian spårar noggrant alla kända säkerhetsproblem över alla paket för Linuxkärnan som har aktivt säkerhetsstöd. Dock så kan inte alla uppdateringar för problem med lägre prioritet släppas för alla kärnor på samma gång på grund av den höga takt som säkerhetsproblem med lägre allvarlighetsgrad upptäcks samt resurserna som krävs för att göra en säkerhetsuppdatering. Istället kommer de att släppas ryckvis.