Cố vấn bảo mật Debian
DSA-3290-1 linux -- cập nhật bảo mật
- Ngày báo cáo:
- 18 Th6 2015
- Gói chịu tác động:
- linux
- Có thể bị tấn công:
- Có
- Tham khảo cơ sở dữ liệu bảo mật:
- Trong từ điển CVE của Miter: CVE-2015-1805, CVE-2015-3636, CVE-2015-4167.
- Thêm thông tin:
-
Nhiều lỗ hổng bảo mật đã được phát hiện trong nhân Linux cái mà có thể dẫn đến leo thang đặc quyền, tấn công từ chối dịch vụ, dò rỉ thông tin hoặc làm hỏng dữ liệu.
- CVE-2015-1805
Red Hat đã khám phá ra rằng mã thực thi đọc ghi đường ống iovec có thể lặp lại iovec lần hai nhưng sẽ sửa đổi iovec như là vòng lặp thứ hai truy cập vào bộ nhớ sai. Một người dùng nội bộ có thể dùng khiếm khuyết này để làm sập hệ thống hoặc có lẽ leo thang đặc quyền. Cái này có thể đẫn đến hậu quả là dữ liệu bị hỏng và thông tin bị rò rỉ trong các đường ống giữ các tiến trình non-malicious.
- CVE-2015-3636
Wen Xu và wushi của KeenTeam đã khám phá ra rằng những người dùng được cho tạo các socket ping có thể dùng chúng để làm đổ vỡ hệ thống và, trên kiến trúc 32-bít, để leo thang đặc quyền. Tuy vậy, theo mặc định, không có tài khoản nào trên hệ thống Debian có quyền truy cập socket ping.
- CVE-2015-4167
Carl Henrik Lunde đã khám phá ra rằng mã thực thi UDF bị thiếu các kiểm tra độ dài cần thiết. Một người dùng nội bộ người mà có thể gắn thiết bị có thể dùng khiếm khuyết này để làm đổ vỡ hệ thống.
Với bản phân phối ổn định cũ (wheezy), những lỗi này được sửa trong phiên bản 3.2.68-1+deb7u2.
Với bản phân phối ổn định (jessie), những lỗi này được sửa trong phiên bản 3.16.7-ckt11-1 hoặc mới hơn, ngoại trừ CVE-2015-4167 cái mà sẽ được sửa sau.
Chúng tôi khuyên bạn nên nâng cấp các gói linux của mình.
- CVE-2015-1805