Ubuntu frissítések

CH azonosító

CH-12326

Angol cím

Ubuntu updates

Felfedezés dátuma

2015.06.10.

Súlyosság

Közepes

Érintett rendszerek

Linux
QEMU
QEMU team
Ubuntu

Érintett verziók

Ubuntu 12.04 LTS, 14.04 LTS, 14.04, 14.10, 15.04

Összefoglaló

Az Ubuntu fejlesztői több javító csomagot adtak ki a rendszert érintő biztonsági hiányosságok kapcsán.

Leírás

CUPS sérülékenységek:
http://tech.cert-hungary.hu/vulnerabilities/CH-12323

QEMU, QEMU-kvm sérülékenységek:

  • A QEMU nem megfelelően kezeli a virtuális PCNET drivert. Ezt a hibát kihasználva a szolgáltatás megtagadása érhető el vagy tetszőleges kódfuttatás hajtható végre.
  • A QEMU hibásan kezeli az ideiglenes fájlokat. Ezt kihasználva egy lokális támadó a szolgáltatás megtagadását érheti el.
  • A QEMU nem korlátozza a host MSI-üzenet adatmezőjének írási jogosultságait, PCI MSI maszkolásra használt bitjeit, MSI-X hibaüzeneteit és a PCI config space írási jogosultságait. Egy rosszindulatú vedégfelhasználó a szolgáltatás megtagadását idézheti elő a hiba kihasználásával.

 

Linux kernel sérülékenységek:
Host összeomlás:

  • A Xen virtuális gép alrendszere nem megfelelően korlátozza a PCI parancsok regisztereit. Egy lokális támdaó ezt kihasználva a szolgáltatás megtagadását érheti el.

Rendszer összeomlás:

  • Fork rendszerhívás int80-as bejegyzése okozta jogosultság kiterjesztése (64bites kerneleken 32bites támogatottsággal).
  • Memóriakorrupciós hiba AES titkosítás fejtésekor Intel AES-NI használatánál.
  • Use-after-free hiba a Linux kernel ipv4 ping használatakor.
  • Hiányzó sanity check-ek a Linnux kernel UDF fájlrendszerében.
  • Memóriakorrupciós sérülékenység a Linux kernel scsi alrendszerében.
  • Az EXT4 fájlrendszer hibásan kezeli a zero range függvényt, ha az oldal mérete nagyobb mint a blokk mérete.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »