1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
|
#use wml::debian::translation-check translation="4007e36d42f1282cea67ecf936b8b9eb66d7194a" maintainer="Lev Lamberov"
<define-tag description>повышение привилегий/отказ в обслуживании/утечка информации</define-tag>
<define-tag moreinfo>
<p>В ядре Linux были обнаружены несколько уязвимостей, которые могут приводить к
отказу в обслуживании, утечке информации или повышению привилегий. Проект Common
Vulnerabilities and Exposures определяет следующие проблемы:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-0343">CVE-2013-0343</a>
<p>Джордж Каргиотакис сообщил о проблеме, возникающей при обработке временных адресов
личных расширений IPv6. Пользователи из одной и той же локальной сети могут вызывать отказ
в обслуживании или получить доступ к чувствительной информации, отправляя на маршрутизатор
сообщения, отключающие создание временных
адресов.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2147">CVE-2013-2147</a>
<p>Дэн Карпентер сообщил о проблемах в драйвере cpqarray для Compaq
Smart2 Controllers и драйвере cciss для контроллеров HP Smart Array,
которые позволяют пользователям получить доступ к чувствительной памяти ядра.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2889">CVE-2013-2889</a>
<p>Кис Кук обнаружил отсутствие очистки ввода в HID-драйвере для
игровых манипуляторов Zeroplus, что приводит к локальному отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2893">CVE-2013-2893</a>
<p>Кис Кук обнаружил отсутствие очистки ввода в HID-драйвере для
различных устройств Logitech с обратной связью, что приводит к локальному отказу в
обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-2929">CVE-2013-2929</a>
<p>Василий Куликов обнаружил переполнение в функции get_dumpable() из
подсистемы ptrace, которое приводит к раскрытию информации. Уязвимы только те системы,
в которых переменная sysctl fs.suid_dumpable установлена в значение <q>2</q> (не является
значением по умолчанию).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4162">CVE-2013-4162</a>
<p>Ханна Фредерик Соуа обнаружил, что некорректная обработка сокетов IPv6 с
использованием опции UDP_CORK может приводить к отказу в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4299">CVE-2013-4299</a>
<p>Компания Fujitsu сообщила о проблеме в подсистеме device-mapper. Локальные пользователи
могут получить доступ к чувствительной памяти ядра.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4345">CVE-2013-4345</a>
<p>Штефан Мюллер нашёл ошибку в генераторе псевдослучайных чисел ANSI,
которая может приводить к использованию меньшей энтропии, чем то ожидается.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4512">CVE-2013-4512</a>
<p>Нико Гоулд и Фабиан Ямагучи сообщили о проблеме в переносе linux в пространство
пользователя. Имеет место состояние переполнения буфера в методе записи для
файла /proc/exitcode. Локальные пользователи с достаточными привилегиями,
дающие им права на запись данного файла, могут повысить
свои привилегии.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4587">CVE-2013-4587</a>
<p>Эндрю Хониг из Google сообщил о проблеме в подсистеме виртуализации
KVM. Локальный пользователь может повысить свои привилегии, передав
параметр vcpu_id с высоким значением.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6367">CVE-2013-6367</a>
<p>Эндрю Хониг из Google сообщил о проблеме в подсистеме виртуализации
KVM. Состояние деления на ноль позволяет гостевому пользователю
вызывать отказ в обслуживании хоста (аварийное завершение работы).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6380">CVE-2013-6380</a>
<p>Манеш Райашкара сообщил о проблеме в драйвере aacraid для хранилищ
различных производителей. Локальные пользователи с привилегиями CAP_SYS_ADMIN
могут повысить свои привилегии.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6381">CVE-2013-6381</a>
<p>Нико Гоулд и Фабиан Ямагучи сообщили о проблеме в поддержке устройств Gigabit Ethernet
для систем s390. Локальные пользователи могут вызвать отказ в обслуживании
или повысить свои привилегии через SIOC_QETH_ADP_SET_SNMP_CONTROL
ioctl.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6382">CVE-2013-6382</a>
<p>Нико Гоулд и Фабиан Ямагучи сообщили о проблеме в файловой системе XFS.
Локальные пользователи с привилегиями CAP_SYS_ADMIN могут повысить
свои привилегии.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6383">CVE-2013-6383</a>
<p>Дэн Карпентер сообшил о проблеме в драйвере aacraid для хранилищ
различных производителей. Локальные пользователь может повысить свои привилегии из-за
отстутствия проверки уровня привилегий в функции aac_compat_ioctl.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7263">CVE-2013-7263</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7264">CVE-2013-7264</a>
<a href="https://security-tracker.debian.org/tracker/CVE-2013-7265">CVE-2013-7265</a>
<p>mpb сообщил об утечке информации в системных вызовах recvfrom, recvmmsg и
recvmsg. Локальный пользователь может получить доступ к чувствительной памяти ядра.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-7339">CVE-2013-7339</a>
<p>Саша Левин сообщил о проблеме в сетевом протоколе RDS по Infiniband.
Локальный пользователь может вызвать состояние отказа в обслуживании.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-0101">CVE-2014-0101</a>
<p>Компания Nokia Siemens Networks сообщила о проблеме в подсистеме сетевого протокола
SCTP. Удалённые пользователи могут вызвать отказ в обслуживании (разыменование
NULL-указателя).</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1444">CVE-2014-1444</a>
<p>Сальва Пейро сообщил о проблеме в драйвере FarSync WAN. Локальные пользователи
с возможностями CAP_NET_ADMIN могут получить доступ к чувствительной памяти
ядра.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1445">CVE-2014-1445</a>
<p>Сальва Пейро сообщил о проблеме в драйвере карт расширения с последовательными портами wanXL. Локальные
пользователи могут получить доступ к чувствительной памяти ядра.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1446">CVE-2014-1446</a>
<p>Сальва Пейро сообщил о проблеме в драйвере радои-модема YAM. Локальные пользователи
с возможностями CAP_NET_ADMIN могут получить доступ к чувствительной памяти
ядра.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-1874">CVE-2014-1874</a>
<p>Мэтью Тоуд сообщил о проблеме в подсистеме SELinux. Локальный пользователь
с привилегиями CAP_MAC_ADMIN может вызвать отказ в обслуживании, установив
на файл пустой контекст безопасности.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2039">CVE-2014-2039</a>
<p>Мартин Швидефски сообщил о проблеме на системах s390. Локальный пользователь
может вызвать отказ в обслуживании (oops ядра), выполнив приложение
со связанным стеком инструкций.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2014-2523">CVE-2014-2523</a>
<p>Дэниел Боркман предоставил исправление проблемы в модуле
nf_conntrack_dccp. Удалённые пользователи могли вызвать отказ в обслуживании (аварийное заверение работы системы)
или повысить свои привилегии.</p></li>
</ul>
<p>В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 2.6.32-48squeeze5.</p>
<p>Следующая таблица содержит список дополнительный пакетов с исходным кодом, которые были собраны заново для
обеспечения совместимости с данным обновлением:</p>
<div class="centerdiv">
<table cellspacing="0" cellpadding="2">
<tr>
<th> </th>
<th>Debian 6.0 (squeeze)</th>
</tr>
<tr>
<td>user-mode-linux</td>
<td>2.6.32-1um-4+48squeeze5</td>
</tr>
</table>
</div>
<p>Мы рекомендуем вам обновить ваши пакеты linux-2.6 и user-mode-linux.
<p><b>Внимание</b>: Debian внимательно отслеживает все известные проблемы безопасности во всех
пакетах ядра Linux во всех выпусках, для которых предоставляется поддержка обновлений безопасности.
Тем не менее, учитывая то, что проблемы безопасности низкой важности обнаруживаются в ядре
довольно часто, а также учитывая ресурсы необходимые для
осуществления обновления, обновления проблем с более низким приоритетом, обычно, не будут
выпускаться для всех ядер одновременно. Скорее же они будут
выпускаться в шахматном порядке или в порядке чехарды.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2014/dsa-2906.data"
# $Id$
|
