Debian DSA-2766-1：linux-2.6 - 特权升级/拒绝服务/信息泄漏

medium Nessus 插件 ID 70200

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在 Linux 内核中发现多个漏洞，可能导致拒绝服务、信息泄漏或权限升级。通用漏洞和暴露计划识别以下问题：

- CVE-2013-2141 Emese Revfy 提供了针对 tkill 和 tgkill 系统调用中的信息泄漏的补丁。64 位系统上的本地用户可能获取对敏感内存内容的访问权限。

- CVE-2013-2164 Jonathan Salwan 报告 CD-ROM 驱动程序存在信息泄漏。在 CD-ROM 驱动器出现故障的系统中的本地用户可访问敏感内存。

- CVE-2013-2206 Karl Heiss 报告了 Linux SCTP 实现中的一个问题。远程用户可造成拒绝服务（系统崩溃）。

- CVE-2013-2232 Dave Jones 和 Hannes Frederic Sowa 解决了 IPv6 子系统中的问题。本地用户可通过 AF_INET6 套接字连接至 IPv4 目标，造成拒绝服务。

- CVE-2013-2234 Mathias Krause 报告，PF_KEYv2 套接字的实现存在内存泄漏。本地用户可获取对敏感内核内存的访问权限。

- CVE-2013-2237 Nicolas Dichtel 报告，PF_KEYv2 套接字的实现存在内存泄漏。本地用户可获取对敏感内核内存的访问权限。

- CVE-2013-2239 Jonathan Salwan 在 openvz 内核风格中发现多处内存泄漏。本地用户可获取对敏感内核内存的访问权限。

- CVE-2013-2851 Kees Cook 报告了区块子系统中的问题。
uid 为 0 的本地用户可获得提升的 ring 0 权限。这是某些特别配置的系统才有的安全问题。

- CVE-2013-2852 Kees Cook 报告，某些 Broadcom 无线设备的 b43 网络驱动程序存在问题。uid 为 0 的本地用户可获得提升的 ring 0 权限。这是某些特别配置的系统才有的安全问题。

- CVE-2013-2888 Kees Cook 报告了 HID 驱动程序子系统中的一个问题。
能够附加设备的本地用户可造成拒绝服务（系统崩溃）。

- CVE-2013-2892 Kees Cook 报告了 pantherlord HID 设备驱动程序中的一个问题。能够附加设备的本地用户可造成拒绝服务或可能获取提升的权限。

解决方案

升级 linux-2.6 和 user-mode-linux 程序包。

对于旧稳定发行版本 (squeeze)，已在版本 2.6.32-48squeeze4 中修复此问题。

以下矩阵列出通过或为利用此更新以实现兼容性而重建的更多源程序包：

Debian 6.0 (squeeze) user-mode-linux 2.6.32-1um-4+48squeeze4 注意：Debian 仔细跟踪活动安全支持下所有版本中每个 linux 内核程序包中的所有已知安全问题。
但是，考虑到在内核中发现低危严重性安全问题的高频率和进行更新的资源要求，通常将不会同时为所有内核发布针对较低优先级问题的更新。而是将以交错或“跳步”方式发布。