Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3290-1 linux

Säkerhetsbulletin från Debian

DSA-3290-1 linux -- säkerhetsuppdatering

Rapporterat den:

2015-06-18

Berörda paket:

linux

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-1805, CVE-2015-3636, CVE-2015-4167.

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till utökning av privilegier, överbelastning, informationsläckage eller datakorruption.

• CVE-2015-1805

  Red Hat upptäckte att pipe iovecs implementationer av read och write kan iterera över iovec två gånger, men kommer att modifiera iovec så att den andra iterationen får åtkomst till fel minne. En lokal angripare kunde utnyttja denna brist för att krascha systemet eller möjligen för utökning av privilegier. Detta kan även leda till datakorruption och informationsläckage i pipes mellan icke-illasinnade processer.

• CVE-2015-3636

  Wen Xu och wushi från KeenTeam upptäckte att användare som tilläts att skapa ping sockets kunde använda dem för att krascha system, och på 32-bitars arkitekturer, för utökning av privilegier. Som standard har inga användare på ett Debiansystem åtkomst till ping sockets.

• CVE-2015-4167

  Carl Henrik Lunde upptäckte att UDF-implementationen saknar en nödvändig längdkontroll. En lokal användare som kan montera enheter kunde använda denna brist för att krascha systemet.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.68-1+deb7u2.

För den stabila utgåvan (Jessie), har dessa problem rättats i version 3.16.7-ckt11-1 eller tidigare, förutom CVE-2015-4167 som kommer att rättas senare.

Vi rekommenderar att ni uppgraderar era linux-paket.