blob: 9da71e2aa608631c56cd6b18cd1876aa64c1cd4f (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>utökning av privilegier/överbelastning/informationsläckage</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till
utökning av privilegier, överbelastning eller informationsläckage. Projektet Common
Vulnerabilities and Exposures identifierar följande problem:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2009-4067">CVE-2009-4067</a>
<p>Rafael Dominguez Vega från MWR InfoSecurity rapporterade ett problem i
auerswald-modulen, en drivrutin för Auerswald PBX/System Telephone USB-enheter.
Angripare med fysisk åtkomst till ett systems USB-portar kunde få
höjda rättigheter genom att använda en speciellt skapad USB-enhet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-0712">CVE-2011-0712</a>
<p>Rafael Dominguez Vega från MWR InfoSecurity rapporterade ett problem i
caiaq-modulen, en USB-drivrutin för USB-audioenheter från Native Instruments.
Angripare med fysisk åtkomst till ett systems USB-portar kunde få
utökade rättigheter genom en speciellt skapad USB-enhet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-1020">CVE-2011-1020</a>
<p>Kees Cook upptäckte ett problem i filsystemet /proc som tillåter
lokala användare att få åtkomst till känslig processinformation efter
exekvering av en setuid-binär.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2209">CVE-2011-2209</a>
<p>Dan Rosenberg upptäckte ett problem i systemanropen osf_sysinfo() på
alpha-arkitekturen. Lokala användare kunde få åtkomst till känsligt
kärnminne.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2211">CVE-2011-2211</a>
<p>Dan Rosenberg upptäckte ett problem i systemanropet osf_wait4() på
alpha-arkitekturen som tillåter lokala användare att få utökade
rättigheter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2213">CVE-2011-2213</a>
<p>Dan Rosenberg upptäckte ett problem i socketövervakningsgränssnittet INET.
Lokala användare kunde skapa en överbelastning genom att injicera kod och
orsaka kärnan att köra en oändlig loop.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2484">CVE-2011-2484</a>
<p>Vasiliy Kulikov från Openwall upptäckte att antalet avslutshanterare som
en process kan registrera begränsas inte, vilket resulterar i lokal
överbelastning genom resursförbrukning (CPU-tid och minne).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2491">CVE-2011-2491</a>
<p>Vasily Averin upptäckte ett problem i NSF-låsningsimplementationen. En
illasinnad NFS-server kan orsaka att en klient hänger sig obegränsad tid
i ett upplåsningsanrop.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2492">CVE-2011-2492</a>
<p>Marek Kroemeke och Filip Palian upptäckte att icke initierade
struktelement i Bluetooth-undersystemet kunde leda till ett läckage
av känsligt kärnminne genom läckande stackminne.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2495">CVE-2011-2495</a>
<p>Vasiliy Kulikov från Openwall upptäckte att io-filen från en process
proc-mapp var skrivbar av alla, vilket resulterar i utlämnande av
information så som lösenordslängder.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2496">CVE-2011-2496</a>
<p>Robert Swiecki upptäckte att mremap() kunde misshandlas för lokal
överbelastning genom att trigga ett BUG_ON-antagande.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2497">CVE-2011-2497</a>
<p>Dan Rosenberg upptäckte ett heltalsunderspil i Bluetooth-undersystemet
vilket kunde leda till överbelastning eller utökning av privilegier.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2525">CVE-2011-2525</a>
<p>Ben Pfaff rapporterade ett problem med nätverksschemaläggningskoden.
En lokal användare kunde orsaka en överbelastning (NULL-pekardereferens)
genom att skicka ett speciellt skapat netlink-meddelande.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-2928">CVE-2011-2928</a>
<p>Timo Warns upptäckte att otillräcklig validering av Be-filsystemsavbildningar
kunde leda till lokal överbelastning om en felaktigt formatterad
filsystemsavbildning monteras.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3188">CVE-2011-3188</a>
<p>Dan Kaminsky rapporterade en svaghet i sekvensnummergeneratorn i
implementationen av TCP-protokollet. Detta kan användas av fjärrangripare
för att injicera paket till en aktiv session.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3191">CVE-2011-3191</a>
<p>Darren Lavender rapporterade ett problem i Common Internet File System
(CIFS). En illasinnad filserver kunde orsaka minneskorruption ledande
till överbelastning.</p></li>
</ul>
<p>Denna uppdatering inkluderar även en rättning av en regression som
introducerades av den förra säkerhetsuppdateringen för <a
href="https://security-tracker.debian.org/tracker/CVE-2011-1768">CVE-2011-1768</a>
(<a href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=633738">\
Debian fel #633738</a>).
</p>
<p>För den gamla stabila utgåvan (Lenny), har detta problem rättats i version
2.6.26-26lenny4. Uppdateringar för arm och alpha finns inte tillgängliga än,
men kommer att släppas så snart som möjligt. Uppdateringar för hppa och
ia64-arkitekturerna kommer att inkluderas i den kommande punktutgåvan 5.0.9.</p>
<p>Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet
med, eller för att dra nytta av, denna uppdatering:</p>
<div class="centerdiv"><table cellspacing="0" cellpadding="2">
<tr><th> </th> <th>Debian 5.0 (Lenny)</th></tr>
<tr><td>user-mode-linux</td><td>2.6.26-1um-2+26lenny4</td></tr>
</table></div>
<p>Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.
Dessa uppdateringar kommer inte att bli aktiva förrän ditt system har startats om.</p>
<p>OBS: Debian spårar försiktigt alla kända säkerhetsproblem över alla
paket för linuxkärnan i alla utgåvor som är under aktivt säkerhetsstöd.
Dock, givet den höga frekvensen som säkerhetsproblem med låg allvarlighetsgrad
upptäcks i kärnan och resurserna som krävs för att göra en uppdatering
så kommer uppdateringar för problem med lägre prioritet inte släppas
samtidigt för alla kärnor på samma gång. Istället kommer de att släppas
i större klumpar.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2310.data"
|
