Debian biztonsági frissítés


2015. február 25. 10:15

CH azonosító

CH-12022

Angol cím

Debian security update

Felfedezés dátuma

2015.02.22.

Súlyosság

Közepes

Érintett rendszerek

Debian
Linux

Érintett verziók

Debian Linux wheezy: 3.2.65-1, 3.16.7-ckt4-3
Debian Linux squeeze: 2.6.32-48squeeze6, 2.6.32-48squeeze11

Összefoglaló

Számos sérülékenységet javít a Debian biztonsági frissítése.

Leírás

A Linux kernelben talált sérülékenységek:

  • CVE-2013-7421 / CVE-2014-9644

    A Crypto API hibájának kihasználása jogosulatlan felhasználóknak engedélyezi tetszőleges kernel modulok betöltését.

  • CVE-2014-7822

    A splice() rendszerhívás nem ellenőrzi a megadott fájl méretét és offset-jét.

  • CVE-2014-8160

    A netfilter szabályrendszer nem szűri a SCTP, DCCP, GRE vagy UDPlite portokon folyó csomagforgalmat.

  • CVE-2014-8559

    Azok a kernel függvények amelyek egy könyvtárrendszeren végeznek iterációs műveleteket, dead-lock-ot idézhetnek elő, ha a könyvtárbejegyzések törölve lettek a gyorsítótárból.

  • CVE-2014-9585

    A címek véletlenszerűsítése a vDSO 64bites folyamatokban nem megfelelően működik.
    A hiba kihasználásával kijátszható az ASLR védelem.

  • CVE-2014-9683

    Az eCryptfs nem veszi figyelembe a lefoglalt puffer méretét írás során.
    A puffer vége után írás a szolgáltatás leállását okozhatja.

  • CVE-2015-0239

    A KVM hibásan emulálja az x86 SYSENTER utasítást.

  • CVE-2015-1420

    Az open_by_handle_at() rendszerhívás a ‘handle’ méretét a felhasználónak foglalt memóriából olvassa. Egy rosszindulatú felhasználó a CAP_DAC_READ_SEARCH segítségével a jogosultságokat módosíthatja.

  • CVE-2015-1421

    Az SCTP implementációs hibája egy használatban lévő hitelesítés állapotot szabadíthat fel, heap korrupciót okozva.

  • CVE-2015-1593

    A 64bites folyamatok veremcímzéséhez használt véletlenszerűsítés entrópiája 22 bites helyett 20 bitre volt korlátozva. Egy jogosulatlan felhasználó az ASLR védelem megkerülésére használhatja fel ezt a sérülékenységet.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a stabil 3.2.65-1+deb7u2 verzióra (wheezy).

Támadás típusa

Authentication Issues (Hitelesítés)
Buffer Errors
Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.debian.org

Legfrissebb sérülékenységek
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
CVE-2025-42928 – SAP jConnect sérülékenység
CVE-2021-35211 – Serv-U Remote Memory Escape sérülékenysége
CVE-2025-66644 – Array Networks ArrayOS AG OS Command Injection sérülékenysége
CVE-2022-37055 – D-Link Routers Buffer Overflow sérülékenysége
CVE-2025-54988 – Apache Tika sérülékenysége
Tovább a sérülékenységekhez »