Sikkerhedsoplysninger / 2022 / Sikkerhedsoplysninger -- DSA-5191-1 linux

Debians sikkerhedsbulletin

DSA-5191-1 linux -- sikkerhedsopdatering

Rapporteret den:

26. jul 2022

Berørte pakker:

linux

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2021-33655, CVE-2022-2318, CVE-2022-26365, CVE-2022-33740, CVE-2022-33741, CVE-2022-33742, CVE-2022-33743, CVE-2022-33744, CVE-2022-34918.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Linux-kernen, hvilke kunne føre til rettighedsforøgelse, lammelsesangreb eller informationslækager:

• CVE-2021-33655

  En bruger med adgang til en framebuffer-console-driver, kunne forårsage en hukommelsesskrivning udenfor grænserne via ioctl'en FBIOPUT_VSCREENINFO.

• CVE-2022-2318

  En anvendelse efter frigivelse i understøttelsen af Amateur Radio X.25 PLP (Rose), kunne medføre lammelsesangreb.

• CVE-2022-26365, CVE-2022-33740, CVE-2022-33741, CVE-2022-33742

  Roger Pau Monne opdagede at Xens block- og network-PV-enhedsfrontends, ikke nulstillede hukommelsesregioner før de blev delt med backend'en, hvilket kunne medføre informationsafsløring. Desuden blev der opdaget at granttabellens granularitet ikke tillod deling af mindre end en 4k-side, hvilket også kunne medføre informationsafsløring.

• CVE-2022-33743

  Jan Beulich opdagede at ukorrekt hukommelseshåndtering i Xens netværksbackend, kunne føre til lammelsesangreb.

• CVE-2022-33744

  Oleksandr Tyshchenko opdagede at ARM Xen-gæster kunne forårsage et lammelsesangreb mod Dom0 gennem paravirtuelle enheder.

• CVE-2022-34918

  Arthur Mongodin opdagede et heapbufferoverløb i undersystemet Netfilter, hvilket kunne medføre lokal rettighedsforøgelse.

I den stabile distribution (bullseye), er disse problemer rettet i version 5.10.127-2.

Vi anbefaler at du opgraderer dine linux-pakker.

For detaljeret sikkerhedsstatus vedrørende linux, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/linux