Debians sikkerhedsbulletin

DSA-3313-1 linux -- sikkerhedsopdatering

Rapporteret den:

23. jul 2015

Berørte pakker:

linux

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til en rettighedsforøgelse eller lammelsesangreb (denial of service).

CVE-2015-3290
Andy Lutomirski opdagede at Linux-kernen ikke på korrekt vis håndterede indlejrede NMI'er. En lokal, upriviligeret bruger kunne udnytte fejlen til rettighedsforøgelse.
CVE-2015-3291
Andy Lutomirski opdagede at under visse omstændigheder kunne et ondsindet program i brugerrummet medføre at kernen droppede NMI'er, førende til et lammelsesangreb.
CVE-2015-4167
Carl Henrik Lunde opdagede at UDF-implementeringen manglende en nødvendig længdekontrol. En lokal bruger, som kan mounte enheder, kunne udnytte fejlen til at få systemet til at gå ned.
CVE-2015-5157
Petr Matousek og Andy Lutomirski opdagede at en NMI, som foretager en interrupt i brugerrummet og løber ind i en IRET-fejl, blev håndteret forkert. En lokal, upriviligeret bruger kunne udnytte fejlen til lammelsesangreb eller muligvis til rettighedsforøgelse.
CVE-2015-5364
Man opdagede at Linux-kernen ikke på korrekt vis håndterede udgyldige UDP-kontrolsummer. En fjernangriber kunne udnytte fejlen til at forårage et lammelsesangreb ved hjælp af en strøm af UDP-pakker med ugyldige kontrolsummer.
CVE-2015-5366
Man opdagede at Linux-kernen ikke på korrekt vis håndterede ugyldige UDP-kontrolsummer. En fjernangriber kunne forårsage et lammelsesangreb mod applikationer, som anvender epoll, ved at indsprøjte en enkelt pakke med en ugyldig kontrolsum.

I den stabile distribution (jessie), er disse problemer rettet i version 3.16.7-ckt11-1+deb8u2.

I den ustabile distribution (sid), er disse problemer rettet i version 4.0.8-2 or earlier versions.

Vi anbefaler at du opgraderer dine linux-pakker.