Информация по безопасности / 2015 / Информация о безопасности -- DSA-3290-1 linux

Рекомендация Debian по безопасности

DSA-3290-1 linux -- обновление безопасности

Дата сообщения:

18.06.2015

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-1805, CVE-2015-3636, CVE-2015-4167.

Более подробная информация:

В ядре Linux было обнаружено несколько уязвимостей, которые могут приводить к повышению привилегий, отказу в обслуживании, утечке информации или повреждению данных.

• CVE-2015-1805

  Сотрудники Red Hat обнаружили, что в реализации функций чтения и записи iovec для каналов итерация по iovec может выполняться дважды, но iovec изменяется так, что при выполнении итерации второй раз осуществляется доступ к неправильному региону памяти. Локальный пользователь может использовать эту уязвимость для аварийного завершения работы системы или для повышения привилегий. Также эта уязвимость может приводить к повреждению данных и утечке информации в каналах между нормальными процессами.

• CVE-2015-3636

  Вен Шу и wushi из KeenTeam обнаружили, что пользователи, которые могут создать сокеты ping, могут использовать их для аварийного завершения работы системы, а на 32-битных архитектурах — для повышения привилегий. Тем не менее, по умолчанию пользователи системы Debian не имеют доступа к сокетам ping.

• CVE-2015-4167

  Карл Хенрик Лунде обнаружил, что в реализации UDF отсутствуют необходимые проверки длин. Локальный пользователь, который может примонтировать устройства, может использовать данную уязвимость для аварийного завершения работы системы.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.2.68-1+deb7u2.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.16.7-ckt11-1 или более ранней за исключением уязвимости CVE-2015-4167, которая будет исправлена позже.

Рекомендуется обновить пакеты linux.