U radu jezgre operacijskog sustava Debian uočeno je više sigurnosnih ranjivosti. Udaljeni naapadač ih može iskoristiti za DoS napad, dobivanje većih privilegija u sustavu i otkrivanje osjetljivih korisničkih podataka.
Paket:
Linux kernel 2.6.x
Operacijski sustavi:
Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost:
5.6
Problem:
korupcija memorije, neodgovarajuće rukovanje datotekama, nepravilno rukovanje lozinkama, pogreška u programskoj funkciji, pogreška u programskoj komponenti, preljev međuspremnika
Iskorištavanje:
lokalno/udaljeno
Posljedica:
dobivanje većih privilegija, neovlašteni pristup sustavu, otkrivanje osjetljivih informacija, uskraćivanje usluga (DoS)
Sigurnosni propusti se javljaju zbog pogrešne implementacije nekih programskih funkcija kao što su "setacl()", "next_pidmap()", itd. Također, propusti su posljedica pogrešaka u sučeljima kao što su "Open Sound System MIDI" te "rt_sigqueueinfo". Za detaljan pregled svih nedostataka savjetuje se čitanje izvorne preporuke.
Posljedica:
Propusti udaljenom napadaču omogućuju izvođenje napada uskraćivanja usluge (DoS), povećanje ovlasti na ranjivom sustavu te otkrivanje osjetljivih podataka.
Rješenje:
Svim se korisnicima navedenog paketa, u svrhu zaštite sigurnosti, savjetuje korištenje dostupnih programskih nadogradnji.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
- ----------------------------------------------------------------------
Debian Security Advisory DSA-2240-1 Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
http://www.debian.org/security/ dann frazier
May 24, 2011 http://www.debian.org/security/faq
- ----------------------------------------------------------------------
Package : linux-2.6
Vulnerability : privilege escalation/denial of service/information leak
Problem type : local/remote
Debian-specific: no
CVE Id(s) : CVE-2010-3875 CVE-2011-0695 CVE-2011-0711 CVE-2011-0726
CVE-2011-1016 CVE-2011-1078 CVE-2011-1079 CVE-2011-1080
CVE-2011-1090 CVE-2011-1160 CVE-2011-1163 CVE-2011-1170
CVE-2011-1171 CVE-2011-1172 CVE-2011-1173 CVE-2011-1180
CVE-2011-1182 CVE-2011-1476 CVE-2011-1477 CVE-2011-1478
CVE-2011-1493 CVE-2011-1494 CVE-2011-1495 CVE-2011-1585
CVE-2011-1593 CVE-2011-1598 CVE-2011-1745 CVE-2011-1746
CVE-2011-1748 CVE-2011-1759 CVE-2011-1767 CVE-2011-1770
CVE-2011-1776 CVE-2011-2022
Debian Bug(s) :
Several vulnerabilities have been discovered in the Linux kernel that may lead
to a denial of service or privilege escalation. The Common Vulnerabilities and
Exposures project identifies the following problems:
CVE-2010-3875
Vasiliy Kulikov discovered an issue in the Linux implementation of the
Amateur Radio AX.25 Level 2 protocol. Local users may obtain access to
sensitive kernel memory.
CVE-2011-0695
Jens Kuehnel reported an issue in the InfiniBand stack. Remote attackers
can
exploit a race condition to cause a denial of service (kernel panic).
CVE-2011-0711
Dan Rosenberg reported an issue in the XFS filesystem. Local users may
obtain access to sensitive kernel memory.
CVE-2011-0726
Kees Cook reported an issue in the /proc/pid/stat implementation. Local
users could learn the text location of a process, defeating protections
provided by address space layout randomization (ASLR).
CVE-2011-1016
Marek OlĹÄ
Posljednje sigurnosne preporuke