在 Linux 内核中发现多个可能导致权限升级、拒绝服务或信息泄漏的漏洞。CVE-2019-2101 Andrey Konovalov 发现，USB Video Class 驱动程序 (uvcvideo) 对设备描述符中的类型字段处理不一致，可能会造成堆缓冲区溢出。这可以被利用来造成拒绝服务，或可能实现权限升级。CVE-2019-10639 Amit Klein 和 Benny Pinkas 发现，IP 数据包 ID 的生成使用了包含内核虚拟地址的弱哈希函数。在 Linux 3.16 中，此哈希函数不会用于 IP ID，而是用于网络堆栈中的其他用途。在启用了 kASLR 的自定义内核配置中，此漏洞可能会削弱 kASLR。CVE-2019-13272 Jann Horn 发现，Linux 内核中的 ptrace 子系统未正确处理想要创建 ptrace 关系的进程凭据管理，这使得本地用户在特定情况下能够获得 root 特权。对于 Debian 8“Jessie”，这些问题已在 3.16.70-1 版本中修复。此更新还修复了 CVE-2019-11478 的原始补丁 (#930904) 中引入的回归，并包含有来自上游稳定更新的其他修复。建议您升级 linux 和 linux-latest 程序包。当二进制程序包名称变更时，您将需要使用“apt-get upgrade --with-new-pkgs”或“apt upgrade”。建议您升级 linux 程序包。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。

检测

Debian DLA-1862-1：linux 安全更新

high Nessus 插件 ID 126964

版本 1.10