Информация по безопасности / 2015 / Информация о безопасности -- DSA-3313-1 linux

Рекомендация Debian по безопасности

DSA-3313-1 linux -- обновление безопасности

Дата сообщения:

23.07.2015

Затронутые пакеты:

linux

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-3290, CVE-2015-3291, CVE-2015-4167, CVE-2015-5157, CVE-2015-5364, CVE-2015-5366.

Более подробная информация:

В ядре Linux было обнаружено несколько уязвимостей, которые могут приводить к повышению привилегий или отказу в обслуживании.

• CVE-2015-3290

  Энди Лутомирски обнаружил, что ядро Linux неправильно обрабатывает вложенные NMI. Локальный непривилегированный пользователь может использовать данную уязвимость для повышения привилегий.

• CVE-2015-3291

  Энди Лутомирски обнаружил, что при определённых условиях работа программы из пользовательского пространства может приводить к тому, что ядро пропустит NMI, что приводит к отказу в обслуживании.

• CVE-2015-4167

  Карл Хенрик Лунде обнаружил, что в реализации UDF отсутствует необходимая проверка длины. Локальный пользователь, способный монтировать устройства, может использовать эту уязвимость для аварийного завершения работы системы.

• CVE-2015-5157

  Пётр Матюшек и Энди Лутомирски обнаружили, что NMI, прерывающий работу в пользовательском пространстве и сталкивающийся с ошибкой IRET, обрабатывается неправильно. Локальный непривилегированный пользователь может использовать данную уязвимость для вызова отказа в обслуживании или повышения привилегий.

• CVE-2015-5364

  Было обнаружено, что ядро Linux неправильно обрабатывает некорректные контрольные суммы UDP. Удалённый злоумышленник может использовать данную уязвимость для вызова отказа в обслуживании, используя поток UDP-пакетов с неправильными контрольными суммами.

• CVE-2015-5366

  Было обнаружено, что ядро Linux неправильно обрабатывает неправильные контрольные суммы UDP. Удалённый злоумышленник может вызывать отказ в обслуживании приложения, использующем epoll, путём введения одного пакета с неправильной контрольной суммой.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.16.7-ckt11-1+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.0.8-2 и более ранних версиях.

Рекомендуется обновить пакеты linux.