blob: 59b9a7ea25ccd82c144cc7e53a0582292ebef1cd (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
|
#use wml::debian::translation-check translation="4007e36d42f1282cea67ecf936b8b9eb66d7194a"
<define-tag description>特権の昇格/サービス拒否/情報漏洩</define-tag>
<define-tag moreinfo>
<p>複数の欠陥が Linux カーネルに発見されました。
サービス拒否や情報漏洩、特権の昇格につながる可能性があります。The Common
Vulnerabilities and Exposures project は以下の問題を認識しています:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0343">CVE-2013-0343</a>
<p>George Kargiotakis さんが IPv6
プライバシー拡張の一時アドレス処理の問題を報告しています。
同一LAN上にいるユーザが ルータ広告 (Router Advertisement
(Message)) を送って一時アドレス生成を無効化させることで、
サービス拒否や機密情報へのアクセス権を取得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2147">CVE-2013-2147</a>
<p>Dan Carpenter さんが、Compaq Smart2 コントローラー向けの cpqarray ドライバや
HP Smart アレイコントローラー向けの cciss ドライバの問題を報告しています。
ユーザに機密のカーネルメモリへのアクセス権の獲得を許します。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2889">CVE-2013-2889</a>
<p>Kees Cook さんが Zeroplus
ゲームパッドのHIDドライバに入力のサニタイジング欠落を発見しました。
ローカルのサービス拒否につながる可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2893">CVE-2013-2893</a>
<p>Kees Cook さんが様々な Logitech Force Feedback
機器のHIDドライバに入力のサニタイジング欠落を発見しました。
ローカルのサービス拒否につながる可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2929">CVE-2013-2929</a>
<p>Vasily Kulikov さんが ptrace サブシステムの get_dumpable()
関数に欠陥を発見しました。情報漏洩につながる可能性があります。
fs.suid_dumpable sysctl
にデフォルト値の<q>2</q>以外がセットされているシステムだけが脆弱です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4162">CVE-2013-4162</a>
<p>Hannes Frederic Sowa さんが、UDP_CORK オプションを使っている IPv6
ソケットの処理が誤っていることを発見しました。
サービス拒否につながる可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4299">CVE-2013-4299</a>
<p>Fujitsu が device-mapper サブシステムの問題を報告しています。
ローカルユーザが機密のカーネルメモリへのアクセス権を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4345">CVE-2013-4345</a>
<p>Stephan Mueller さんが ANSI 疑似乱数生成器にバグを発見しました。
想定よりも無秩序さに欠ける乱数の利用につながる可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4512">CVE-2013-4512</a>
<p>Nico Golde さんと Fabian Yamaguchi さんがユーザーモード
Linux の移植版に問題を報告しています。/proc/exitcode
ファイルの書き込み方法にバッファオーバーフローの起きる状況があります。
このファイルに書き込むのに十分な権限のあるローカルユーザが、
さらに昇格した権限を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4587">CVE-2013-4587</a>
<p>Google の Andrew Honig さんがKVM仮想化サブシステムの問題を報告しています。
ローカルユーザが巨大な vcpu_id
パラメータを渡すことで昇格した権限を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6367">CVE-2013-6367</a>
<p>Google の Andrew Honig さんがKVM仮想化サブシステムの問題を報告しています。
ゼロ除算の状況によりゲストユーザにホストのサービス拒否
(クラッシュ) を許す可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6380">CVE-2013-6380</a>
<p>Mahesh Rajashekhara さんが様々なベンダーのストレージ製品向けの aacraid
ドライバに問題を報告しています。CAP_SYS_ADMIN 権限のあるローカルユーザが、
さらに昇格した権限を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6381">CVE-2013-6381</a>
<p>Nico Golde さんと Fabian Yamaguchi さんが、s390
システムのギガビットイーサネット機器のサポートに問題を報告しています。
ローカルユーザが SIOC_QETH_ADP_SET_SNMP_CONTROL ioctl
を経由してサービス拒否や昇格した権限を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6382">CVE-2013-6382</a>
<p>Nico Golde さんと Fabian Yamaguchi
さんがXFSファイルシステムの問題を報告しています。CAP_SYS_ADMIN
権限のあるローカルユーザが、さらに昇格した権限を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6383">CVE-2013-6383</a>
<p>Dan Carpenter さんが様々なベンダーのストレージ製品向けの
aacraid ドライバに問題を報告しています。aac_compat_ioctl
関数に権限レベルの確認が欠けていることにより、
ローカルユーザが昇格した権限を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7263">CVE-2013-7263</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7264">CVE-2013-7264</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7265">CVE-2013-7265</a>
<p>mpb さんが recvfrom、recvmmsg、recvmsg システムコールに情報漏洩を報告しています。
ローカルユーザが機密のカーネルメモリへのアクセス権を取得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7339">CVE-2013-7339</a>
<p>Sasha Levin さんが Infiniband で利用する RDS
ネットワークプロトコルに問題を報告しています。
ローカルユーザがサービス拒否を引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0101">CVE-2014-0101</a>
<p>Nokia Siemens Networks が SCTP
ネットワークプロトコルサブシステムの問題を報告しています。
リモートユーザがサービス拒否 (NULL ポインタ参照)
を引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1444">CVE-2014-1444</a>
<p>Salva Peiro さんが FarSync WAN ドライバの問題を報告しています。
CAP_NET_ADMIN 権限のあるローカルユーザが、
機密のカーネルメモリへのアクセス権を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1445">CVE-2014-1445</a>
<p>Salva Peiro さんが wanXL シリアルカードドライバの問題を報告しています。
ローカルユーザが機密のカーネルメモリへのアクセス権を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1446">CVE-2014-1446</a>
<p>Salva Peiro さんがYAMラジオモデムドライバの問題を報告しています。
CAP_NET_ADMIN 権限のあるローカルユーザが、
機密のカーネルメモリへのアクセス権を獲得する可能性があります。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1874">CVE-2014-1874</a>
<p>Matthew Thode さんが SELinux サブシステムの問題を報告しています。CAP_MAC_ADMIN
権限のあるローカルユーザがセキュリティの言及のない設定をファイルに書くことにより、
サービス拒否を引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2039">CVE-2014-2039</a>
<p>Martin Schwidefsky さんが s390 システムの問題を報告しています。
ローカルユーザがリンケージスタック命令のあるアプリケーションを実行することで、
サービス拒否 (カーネルoops) を引き起こすことが可能です。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2523">CVE-2014-2523</a>
<p>Daniel Borkmann さんが nf_conntrack_dccp
モジュールの問題への修正を提供しています。リモートユーザがサービス拒否
(システムのクラッシュ) や潜在的には昇格した権限を獲得する可能性があります。</p></li>
</ul>
<p>旧安定版 (oldstable) ディストリビューション (squeeze)
では、この問題はバージョン 2.6.32-48squeeze5 で修正されています。</p>
<p>以下の表で、互換性や、
この更新を利用するために追加で再ビルドされたソースパッケージを提示します。</p>
<div class="centerdiv">
<table cellspacing="0" cellpadding="2">
<tr>
<th> </th>
<th>Debian 6.0 (squeeze)</th>
</tr>
<tr>
<td>user-mode-linux</td>
<td>2.6.32-1um-4+48squeeze5</td>
</tr>
</table>
</div>
<p>直ちに linux-2.6 及び user-mode-linux
パッケージをアップグレードすることを勧めます。</p>
<p><b>注意</b>: Debian は積極的なセキュリティサポートの下、全リリースの linux
カーネルパッケージの既知のセキュリティ問題を全て注意深く追跡しています。
しかし、重要度の低いセキュリティ問題がカーネルに高頻度で発見されることと
その更新に必要となるリソースの観点から、
優先度の低い問題の更新では通常全カーネルが同時にはリリースされません。
その場合は千鳥足や交互前進のように別個にリリースされます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2906.data"
|
