Информация по безопасности / 2014 / Информация о безопасности -- DSA-2952-1 kfreebsd-9

Рекомендация Debian по безопасности

DSA-2952-1 kfreebsd-9 -- обновление безопасности

Дата сообщения:

05.06.2014

Затронутые пакеты:

kfreebsd-9

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-1453, CVE-2014-3000, CVE-2014-3880.

Более подробная информация:

В ядре FreeBSD были обнаружены несколько уязвимостей, которые могут приводить к отказу в обслуживании или возможному раскрытию памяти ядра. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2014-1453

  Удалённый и авторизованный злоумышленник может вызвать зависание сервера NFS, что приводит к отказу в обслуживании.

• CVE-2014-3000:

  Злоумышленник, имеющий возможность отправить серию специально сформированных пакетов, может вызвать отказ в обслуживании, который возникает из-за аварийного завершения работы ядра.

  Кроме того, поскольку неопределённая переменная стека может быть перезаписана другими нитями ядра, хотя это и сложно, это может позволить злоумышленнику организовать специальную атаку для получения части памяти ядра через подсоединённый сокет. Это может приводить к раскрытию чувствительной информации, такой как данные учётной записи и проч. до или даже без аварийного завершения работы системы.

• CVE-2014-3880

  Локальный злоумышленник может вызвать аварийное завершение работы ядра (троекратная ошибка) с потенциальной потерей данных, связанной с системными вызовами execve/fexecve. Об этой уязвимости сообщил Айво Де Декер.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 9.0-10+deb70.7.

В нестабильном (sid) и тестриуемом (jessie) выпусках эти проблемы были исправлены в пакете kfreebsd-10 версии 10.0-6.

Рекомендуется обновить пакеты kfreebsd-9.