blob: 91171f5f8f7dda923cf53e94b17ccebe825241c0 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
|
#use wml::debian::translation-check translation="4007e36d42f1282cea67ecf936b8b9eb66d7194a" mindelta="1"
<define-tag description>utökning av privilegier/överbelastning/informationsläckage</define-tag>
<define-tag moreinfo>
<p>Flera sårbarheter har upptäckts i Linuxkärnan som kan leda
till en överbelastning, informationsläckage eller utökning av privilegier.
Projektet Common Vulnerabilities and Exposures identifierar följande
problem:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0343">CVE-2013-0343</a>
<p>George Kargiotakis rapporterade ett problem i hantering av temporära
adresser i IPv6s sekretessutökningar. Användare på samma LAN kan orsaka
en överbelastning eller få åtkomst till känslig information genom att
skicka routerannonseringsmeddelanden som orsakar generering av temporära
adresser att inaktiveras.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2147">CVE-2013-2147</a>
<p>Dan Carpenter rapporterade problem i cpqarray-drivrutinen för Compaq
Smart2 Controllers och cciss-drivrutinen för HP Smart Array Controllers
vilket tillät användare att få åtkomst till känsligt kärnminne.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2889">CVE-2013-2889</a>
<p>Kees Cook upptäckte bristande rengöring av indata i HID-drivrutinen för
Zeroplus gamepads som kunde leda till en lokal överbelastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2893">CVE-2013-2893</a>
<p>Kees Cook upptäckte att saknad rengöring av indata i HID-drivrutinen
för olika Logitech force feedback-enheter kunde leda till en lokal
överbelastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2929">CVE-2013-2929</a>
<p>Vasily Kulikov upptäckte att ett problem i funktionen get_dumpable() i
undersystemet ptrace kunde leda till utlämnande av information. Endast
system med fs.suid_dumpable sysctl satt till ett icke-standardvärde
<q/>2</q> är sårbara.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4162">CVE-2013-4162</a>
<p>Hannes Frederic Sowa upptäckte att felaktig hantering av IPv6 sockets
med hjälp av UDP_CORK-alternativet kunde leda till en överbelastning.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4299">CVE-2013-4299</a>
<p>Fujitsu rapporterade ett problem i undersystemet device-mapper. Lokala
användare kunde få åtkomst till känsligt minne i kärnan.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4345">CVE-2013-4345</a>
<p>Stephan Mueller upptäckte ett fel i ANSIs pseudoslumptalsgenerator
vilket kunde leda till användande av mindre entropi än väntat.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4512">CVE-2013-4512</a>
<p>Nico Golde och Fabian Yamaguchi rapporterade ett problem i
user mode linux-anpassningen. Ett buffertspillstillstånd existerar i
write-metoden för filen /proc/exitcode. Lokala användare med tillräckliga
rättigheter för att skriva till denna fil kunde få ytterligare högre
rättigheter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4587">CVE-2013-4587</a>
<p>Andrew Honig från Google rapporterade ett problem med
KVM-virtualiseringsundersystemet. En lokal användare kunde få utökade
rättigheter genom att skicka en stor vcpu_id-parameter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6367">CVE-2013-6367</a>
<p>Andrew Honig från Google rapporterade ett problem med
KVM-virtualiseringsundersystemet. Ett division-med-noll-läge kunde tillåta
en gästanvändare att orsaka en överbelastning på värden (krasch).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6380">CVE-2013-6380</a>
<p>Mahesh Rajashekhara rapporterade ett problem i aacraid-drivrutinen för
lagringsprodukter från flera tillverkare. Lokala användare med
CAP_SYS_ADMIN-rättigheter kunde få ytterligare ökade rättigheter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6381">CVE-2013-6381</a>
<p>Nico Golde och Fabian Yamaguchi rapporterade ett problem i Gigabit
Ethernet-enhetsstödet för s390-system. Lokala användare kunde orsaka en
överbelastning eller få utökade rättigheter via SIOC_QETH_ADP_SET_SNMP_CONTROL
ioctl.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6382">CVE-2013-6382</a>
<p>Nico Golde och Fabian Yamaguchi rapporterade ett problem i XFS-filsystemet.
Lokala användare med CAP_SYS_ADMIN-rättigheter kunde få ytterligare utökade
rättigheter.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6383">CVE-2013-6383</a>
<p>Dan Carpenter rapporterade ett problem i aacraid-drivrutinen för
lagringsenheter från olika tillverkare. En lokal användare kunde få utökade
rättigheter tack vare en saknad rättighetskontroll i funktionen
aac_compat_ioctl.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7263">CVE-2013-7263</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7264">CVE-2013-7264</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7265">CVE-2013-7265</a>
<p>mpb rapporterade ett informationsläckage i systemanropen recvfrom,
recvmmsg och recvmsg. En lokal användare kunde få åtkomst till känsligt
minne i kärnan.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7339">CVE-2013-7339</a>
<p>Sasha Levin rapporterade ett problem i RDS-nätverksprotokollet över
Infiniband. En lokal användare kunde orsaka ett överbelastningstillstånd.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0101">CVE-2014-0101</a>
<p>Nokia Siemens Networks rapporterade ett problem i
SCTP-nätverksprotokollundersystemet. Fjärranvändare kunde orsaka en
överbelastning (NULL-pekardereferering).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1444">CVE-2014-1444</a>
<p>Salva Peiro rapporterade ett problem i FarSync WAN-drivrutinen. Lokala
användare med CAP_NET_ADMIN-möjligheten kunde få åtkomst till känsligt
minne i kärnan.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1445">CVE-2014-1445</a>
<p>Salva Peiro rapporterade ett problem i drivrutinen för wanXL seriella
kort. Lokala användare kunde få åtkomst till känsligt minne i kärnan.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1446">CVE-2014-1446</a>
<p>Salva Peiro rapporterade ett problem i drivrutinen för YAM radio modem.
Lokala användare med CAP_NET_ADMIN-möjligheten kunde få åtkomst till
känsligt minne i kärnan.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1874">CVE-2014-1874</a>
<p>Matthew Tjode rapporterade ett problem i undersystemet SELinux. En lokal
användare med CAP_MAC_ADMIN-rättigheter kunde orsaka en överbelastning
genom att sätta ett tomt säkerhetskontext på en fil.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2039">CVE-2014-2039</a>
<p>Martin Schwidefsky rapporterade ett problem på s390-system. En lokal
användare kunde orsaka en överbelastning (kernel oops) genom att köra
en applikation med en länkstacksinstruktion.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2523">CVE-2014-2523</a>
<p>Daniel Borkmann tillhandahöll en rättning för ett problem i
nf_conntrack_dccp-modulen. Fjärranvändare kunde orsaka en överbelastning
(systemkrasch) eller potentiellt få utökade rättigheter.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Squeeze) har detta problem rättats i
version 2.6.32-48squeeze5.</p>
<p>Följande tabell beskriver ytterligare källkodspaket som byggts om för kompatibilitet
med, eller för att dra nytta av, denna uppdatering:</p>
<div class="centerdiv">
<table cellspacing="0" cellpadding="2">
<tr>
<th> </th>
<th>Debian 6.0 (Squeeze)</th>
</tr>
<tr>
<td>user-mode-linux</td>
<td>2.6.32-1um-4+48squeeze5</td>
</tr>
</table>
</div>
<p>Vi rekommenderar att ni uppgraderar era linux-2.6- och user-mode-linux-paket.</p>
<p><b>Notera</b>: Debian spårar noggrant alla kända säkerhetsproblem över alla
paket för Linuxkärnan som har aktivt säkerhetsstöd. Dock så kan inte alla
uppdateringar för problem med lägre prioritet släppas för alla kärnor på samma
gång på grund av den höga takt som säkerhetsproblem med lägre allvarlighetsgrad
upptäcks samt resurserna som krävs för att göra en säkerhetsuppdatering.
Istället kommer de att släppas i större klumpar.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2906.data"
|