Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3396-1 linux

Debians sikkerhedsbulletin

DSA-3396-1 linux -- sikkerhedsopdatering

Rapporteret den:

10. nov 2015

Berørte pakker:

linux

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-5307, CVE-2015-7833, CVE-2015-7872, CVE-2015-7990.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til et lammelsesangreb (denial of service).

• CVE-2015-5307

  Ben Serebrin fra Google opdagede en fejl i forbindelse med gæst til vært- lammelsesangreb, som påvirkede KVM-hypervisoren. En ondsindet gæst kunne udløse en uendelig løkke bestående af alignment check-undtagelser (#AC), hvilket medførte at processorens mikrokode kom i en undelig løkke, hvor core'n aldrig modtog et nyt interrupt. Det førte til en panik i værtskernen.

• CVE-2015-7833

  Sergej Schumilo, Hendrik Schwartke og Ralf Spenneberg opdagede en fejl i behandlingen af visse USB-enhedsdescriptorer i usbvision-driveren. En angriber med fysisk adgang til systemet, kunne udnytte fejlen til at få det til at gå ned.

• CVE-2015-7872

  Dmitry Vyukov opdagede en sårbarhed i keyring'ens garbagecollector, hvilket gjorde det muligt for en lokal bruger, at udløse en kernepanik.

• CVE-2015-7990

  Man opdagede at rettelsen af CVE-2015-6937 var ufuldstændig. En kapløbstilstand ved afsendelse af en meddelelse på en unbound socket, kunne stadig medføre en NULL-pointerdereference. En fjernangriber kunne være i stand til at forårsage et lammelsesangreb (nedbrud), ved at sende en fabrikeret pakke.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 3.2.68-1+deb7u6.

I den stabile distribution (jessie), er disse problemer rettet i version 3.16.7-ckt11-1+deb8u6.

Vi anbefaler at du opgraderer dine linux-pakker.