Säkerhetsbulletin från Debian

DSA-3313-1 linux -- säkerhetsuppdatering

Rapporterat den:

2015-07-23

Berörda paket:

linux

Sårbara:

Referenser i säkerhetsdatabaser:

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till utökning av privilegier eller överbelastning.

CVE-2015-3290
Andy Lutomirski upptäckte att Linuxkärnan inte hanterar nästlade NMIs ordentligt. En lokal användare utan rättigheter kunde utnyttja denna brist för utökning av privilegier.
CVE-2015-3291
Andy Lutomirski upptäckte att ett illasinnat userspace-program under vissa omständigheter kunde orsaka kärnan att skippa NMIs, vilket leder till överbelastning.
CVE-2015-4167
Carl Henrik Lunde upptäckte att UDF-implementationen saknar en nödvändig längdkontroll. En lokal användare som kan montera enheter kunde utnyttja denna brist för att krascha systemet.
CVE-2015-5157
Petr Matousek och Andy Lutomirski upptäckte att en NMI som avbryter userspace och råkar ut för ett IRET-fel hanteras felaktigt. En lokal användare utan rättighter kan utnyttja denna brist för överbelastning eller möjligen utökning av privilegier.
CVE-2015-5364
Man har upptäckt att Linuxkärnan inte hanterar ogiltiga UDP-kontrollsummor ordentligt. En fjärrangripare kunde utnyttja denna brist för att orsaka en överbelastning med hjälp av en mängd UDP-paket med felaktiga kontrollsummor.
CVE-2015-5366
Man har upptäckt att Linuxkärnan inte hanterar ogiltiga UDP-kontrollsummor ordentligt. En fjärrangripare kan orsaka en överbelastning mot applikationer som använder epoll genom att injicera ett enstaka paket med en ogiltig kontrollsumma.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.16.7-ckt11-1+deb8u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.0.8-2 eller tidigare versioner.

Vi rekommenderar att ni uppgraderar era linux-paket.