Debians sikkerhedsbulletin
DSA-4313-1 linux -- sikkerhedsopdatering
- Rapporteret den:
- 8. okt 2018
- Berørte pakker:
- linux
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2018-15471, CVE-2018-18021.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til en rettighedsforøgelse, lammelsesangreb eller informationslækager.
- CVE-2018-15471 (XSA-270)
Felix Wilhelm fra Google Project Zero opdagede en fejl i hashhåndteringen af Linux-kernemodulet xen-netback. En ondsindet eller fejlfyldt frontend kunne medføre at (den normalt priviligerede) backend tilgør hukommelse uden for grænserne, potentielt førende til rettighedsforøgelse, lammelsesangreb eller informationslækager.
- CVE-2018-18021
Man opdagede at KVM-undersystemet på arm64-platformen, ikke på korrekt vis håndterede ioctl'en KVM_SET_ON_REG. En angriber, der er i stand til at oprette KVM-baserede virtuelle maskiner, kunne drage nytte af fejlen til lammelsesangreb (hypervisorpanik) eller rettighedsforøgelse (vilkårlig viderestilling af hypervisorens kontrolforløb med total registerkontrol).
I den stabile distribution (stretch), er disse problemer rettet i version 4.9.110-3+deb9u6.
Vi anbefaler at du opgraderer dine linux-pakker.
For detaljeret sikkerhedsstatus vedrørende linux, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/linux
- CVE-2018-15471 (XSA-270)