Debian biztonsági frissítés


2015. február 25. 10:15

CH azonosító

CH-12022

Angol cím

Debian security update

Felfedezés dátuma

2015.02.22.

Súlyosság

Közepes

Érintett rendszerek

Debian
Linux

Érintett verziók

Debian Linux wheezy: 3.2.65-1, 3.16.7-ckt4-3
Debian Linux squeeze: 2.6.32-48squeeze6, 2.6.32-48squeeze11

Összefoglaló

Számos sérülékenységet javít a Debian biztonsági frissítése.

Leírás

A Linux kernelben talált sérülékenységek:

  • CVE-2013-7421 / CVE-2014-9644

    A Crypto API hibájának kihasználása jogosulatlan felhasználóknak engedélyezi tetszőleges kernel modulok betöltését.

  • CVE-2014-7822

    A splice() rendszerhívás nem ellenőrzi a megadott fájl méretét és offset-jét.

  • CVE-2014-8160

    A netfilter szabályrendszer nem szűri a SCTP, DCCP, GRE vagy UDPlite portokon folyó csomagforgalmat.

  • CVE-2014-8559

    Azok a kernel függvények amelyek egy könyvtárrendszeren végeznek iterációs műveleteket, dead-lock-ot idézhetnek elő, ha a könyvtárbejegyzések törölve lettek a gyorsítótárból.

  • CVE-2014-9585

    A címek véletlenszerűsítése a vDSO 64bites folyamatokban nem megfelelően működik.
    A hiba kihasználásával kijátszható az ASLR védelem.

  • CVE-2014-9683

    Az eCryptfs nem veszi figyelembe a lefoglalt puffer méretét írás során.
    A puffer vége után írás a szolgáltatás leállását okozhatja.

  • CVE-2015-0239

    A KVM hibásan emulálja az x86 SYSENTER utasítást.

  • CVE-2015-1420

    Az open_by_handle_at() rendszerhívás a ‘handle’ méretét a felhasználónak foglalt memóriából olvassa. Egy rosszindulatú felhasználó a CAP_DAC_READ_SEARCH segítségével a jogosultságokat módosíthatja.

  • CVE-2015-1421

    Az SCTP implementációs hibája egy használatban lévő hitelesítés állapotot szabadíthat fel, heap korrupciót okozva.

  • CVE-2015-1593

    A 64bites folyamatok veremcímzéséhez használt véletlenszerűsítés entrópiája 22 bites helyett 20 bitre volt korlátozva. Egy jogosulatlan felhasználó az ASLR védelem megkerülésére használhatja fel ezt a sérülékenységet.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a stabil 3.2.65-1+deb7u2 verzióra (wheezy).

Támadás típusa

Authentication Issues (Hitelesítés)
Buffer Errors
Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.debian.org

Legfrissebb sérülékenységek
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »