Säkerhetsbulletin från Debian

DSA-3396-1 linux -- säkerhetsuppdatering

Rapporterat den:

2015-11-10

Berörda paket:

linux

Sårbara:

Referenser i säkerhetsdatabaser:

Ytterligare information:

Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till en överbelastning.

CVE-2015-5307
Ben Serebrin från Google upptäckte en gäst-till-värd-överbelastningsbrist som påverkar KVM-hypervisorn. En illasinnad gäst kan trigga en oändlig ström av alignment check (#AC)-undantag som orsakar processormikrokoden att gå in i en oändlig loop där kärnan aldrig tar emot ett till interrupt. Detta leder till en panik i värdkärnan.
CVE-2015-7833
Sergej Schumilo, Hendrik Schwartke och Ralf Spenneberg upptäckte en brist i behandlingen av vissa USB-enhetsdeskriptorer i usbvision-drivrutinen. En angripare med fysisk åtkomst till systemet kan utnyttja denna brist till att krascha systemet.
CVE-2015-7872
Dmitry Vyukov upptäckte en sårbarheter i skräphanterareren för nyckelringen vilket tillåter en lokal användare att orsaka en kärnpanik.
CVE-2015-7990
Man har upptäckt att rättningen för CVE-2015-6937 inte var fullständig. En kapplöpningseffekt vid sädning av ett meddelande på en icke bunden socket kan fortfarande orsaka en NULL-pekardereferens. En fjärrangripare kan ha möjlighet att orsaka en överbelastning (krasch) genom att skicka ett skapat paket.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 3.2.68-1+deb7u6.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.16.7-ckt11-1+deb8u6.

Vi rekommenderar att ni uppgraderar era linux-paket.