Ubuntu frissítések

CH azonosító

CH-12326

Angol cím

Ubuntu updates

Felfedezés dátuma

2015.06.10.

Súlyosság

Közepes

Érintett rendszerek

Linux
QEMU
QEMU team
Ubuntu

Érintett verziók

Ubuntu 12.04 LTS, 14.04 LTS, 14.04, 14.10, 15.04

Összefoglaló

Az Ubuntu fejlesztői több javító csomagot adtak ki a rendszert érintő biztonsági hiányosságok kapcsán.

Leírás

CUPS sérülékenységek:
http://tech.cert-hungary.hu/vulnerabilities/CH-12323

QEMU, QEMU-kvm sérülékenységek:

  • A QEMU nem megfelelően kezeli a virtuális PCNET drivert. Ezt a hibát kihasználva a szolgáltatás megtagadása érhető el vagy tetszőleges kódfuttatás hajtható végre.
  • A QEMU hibásan kezeli az ideiglenes fájlokat. Ezt kihasználva egy lokális támadó a szolgáltatás megtagadását érheti el.
  • A QEMU nem korlátozza a host MSI-üzenet adatmezőjének írási jogosultságait, PCI MSI maszkolásra használt bitjeit, MSI-X hibaüzeneteit és a PCI config space írási jogosultságait. Egy rosszindulatú vedégfelhasználó a szolgáltatás megtagadását idézheti elő a hiba kihasználásával.

 

Linux kernel sérülékenységek:
Host összeomlás:

  • A Xen virtuális gép alrendszere nem megfelelően korlátozza a PCI parancsok regisztereit. Egy lokális támdaó ezt kihasználva a szolgáltatás megtagadását érheti el.

Rendszer összeomlás:

  • Fork rendszerhívás int80-as bejegyzése okozta jogosultság kiterjesztése (64bites kerneleken 32bites támogatottsággal).
  • Memóriakorrupciós hiba AES titkosítás fejtésekor Intel AES-NI használatánál.
  • Use-after-free hiba a Linux kernel ipv4 ping használatakor.
  • Hiányzó sanity check-ek a Linnux kernel UDF fájlrendszerében.
  • Memóriakorrupciós sérülékenység a Linux kernel scsi alrendszerében.
  • Az EXT4 fájlrendszer hibásan kezeli a zero range függvényt, ha az oldal mérete nagyobb mint a blokk mérete.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »