2012年3月27日

[debian-users:56076] [Translate] [SECURITY] [DSA 2443-1] linux-2.6 security update

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- ----------------------------------------------------------------------
Debian Security Advisory DSA-2443-1 security@xxxxx
http://www.debian.org/security/ Dann Frazier

March 26, 2012 http://www.debian.org/security/faq
- ----------------------------------------------------------------------

Package : linux-2.6
Vulnerability : 特権の昇格/サービス拒否攻撃
Problem type : ローカル
Debian-specific: いいえ
CVE Id(s) : CVE-2009-4307 CVE-2011-1833 CVE-2011-4347 CVE-2012-0045
CVE-2012-1090 CVE-2012-1097

Linux カーネルに、サービス拒否攻撃や特権の昇格に繋がる複数の問題が発見
されました。 The Common Vulnerabilities and Exposures project は以下の
問題を認識しています。

CVE-2009-4307

Nageswara R Sastry さんにより、ext4 ファイルシステムに欠陥が報告さ
れました。ファイルシステムのマウント権限を持つローカルユーザから、
s_log_groups_per_flex 値に 31 を超える値を設定することで、サービス
拒否攻撃 (BUG) が可能です。

CVE-2011-1833

Openwall の Vasiliy Kulikov さんと Dan Rosenberg さんにより、
eCryptfs に情報の漏洩が発見されました。ローカルユーザが任意のディ
レクトリをマウント可能です。

CVE-2011-4347

Sasha Levin さんにより、KVM のデバイス割り当て機能に欠陥が報告され
ました。/dev/kvm へのアクセス権限を持つローカルの攻撃者が使ってい
ない PCI デバイスの割り当てを受けられるため、サービス拒否攻撃 (ク
ラッシュ) が可能です。

CVE-2012-0045

Stephan Barwolf さんにより、KVM に欠陥が報告されました。64-bit シ
ステムで走行中の 32-bit ゲスト上のローカルの攻撃者から、syscall
命令を使ってゲストをクラッシュ可能です。

CVE-2012-1090

CAI Qian さんにより、CIFS ファイルシステムに欠陥が報告されました。
スペシャルファイルの探索時に参照カウントのリークが発生するため、
umount 時にサービス拒否攻撃 (oops) が可能です。

CVE-2012-1097

H. Peter Anvin さんにより、regset インフラストラクチャに欠陥が報告
されました。ローカルの攻撃者からリードオンリーの regset に書き込み
メソッドを送ることでサービス拒否攻撃 (NULL ポインタ参照) が可能で
す。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 2.6.32-41squeeze2 で修正されています。

以下は今回の更新の効果を得るため、または今回の更新との互換性を維持する
ために再ビルドした追加ソースパッケージの一覧表です。

Debian 6.0 (squeeze)
user-mode-linux 2.6.32-1um-4+41squeeze2

直ぐに linux-2.6 と user-mode-linux パッケージをアップグレードするこ
とを勧めます。

この文書の査読を行っていただいた Micah Anderson さんに感謝します。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@xxxxx
------>8------------>8------------>8------------>8------------>8-
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------

投稿者 xml-rpc : 2012年3月27日 22:57
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/109126
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。