Összefoglaló
Az Ubuntu fejlesztői több javító csomagot adtak ki a rendszert érintő biztonsági hiányosságok kapcsán.
Leírás
CUPS sérülékenységek:
http://tech.cert-hungary.hu/vulnerabilities/CH-12323
QEMU, QEMU-kvm sérülékenységek:
- A QEMU nem megfelelően kezeli a virtuális PCNET drivert. Ezt a hibát kihasználva a szolgáltatás megtagadása érhető el vagy tetszőleges kódfuttatás hajtható végre.
- A QEMU hibásan kezeli az ideiglenes fájlokat. Ezt kihasználva egy lokális támadó a szolgáltatás megtagadását érheti el.
- A QEMU nem korlátozza a host MSI-üzenet adatmezőjének írási jogosultságait, PCI MSI maszkolásra használt bitjeit, MSI-X hibaüzeneteit és a PCI config space írási jogosultságait. Egy rosszindulatú vedégfelhasználó a szolgáltatás megtagadását idézheti elő a hiba kihasználásával.
Linux kernel sérülékenységek:
Host összeomlás:
- A Xen virtuális gép alrendszere nem megfelelően korlátozza a PCI parancsok regisztereit. Egy lokális támdaó ezt kihasználva a szolgáltatás megtagadását érheti el.
Rendszer összeomlás:
- Fork rendszerhívás int80-as bejegyzése okozta jogosultság kiterjesztése (64bites kerneleken 32bites támogatottsággal).
- Memóriakorrupciós hiba AES titkosítás fejtésekor Intel AES-NI használatánál.
- Use-after-free hiba a Linux kernel ipv4 ping használatakor.
- Hiányzó sanity check-ek a Linnux kernel UDF fájlrendszerében.
- Memóriakorrupciós sérülékenység a Linux kernel scsi alrendszerében.
- Az EXT4 fájlrendszer hibásan kezeli a zero range függvényt, ha az oldal mérete nagyobb mint a blokk mérete.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Deny of service (Szolgáltatás megtagadás)Misconfiguration (Konfiguráció)
Privilege escalation (jogosultság kiterjesztés)
Resource Management Errors
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code
man in the middle
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
CVE-2015-1158 - NVD CVE-2015-1158
CVE-2015-1159 - NVD CVE-2015-1159
CVE-2015-3209 - NVD CVE-2015-3209
CVE-2015-4037 - NVD CVE-2015-4037
CVE-2015-4103 - NVD CVE-2015-4103
CVE-2015-4104 - NVD CVE-2015-4104
CVE-2015-4105 - NVD CVE-2015-4105
CVE-2015-4106 - NVD CVE-2015-4106
CVE-2015-2150 - NVD CVE-2015-2150
CVE-2015-2830 - NVD CVE-2015-2830
CVE-2015-3331 - NVD CVE-2015-3331
CVE-2015-3636 - NVD CVE-2015-3636
CVE-2015-4167 - NVD CVE-2015-4167
CVE-2015-3636 - NVD CVE-2015-3636
CVE-2015-4036 - NVD CVE-2015-4036
CVE-2015-0275 - NVD CVE-2015-0275
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com
Gyártói referencia: www.ubuntu.com