Debian DSA-2928-1:linux-2.6 - 特权升级/拒绝服务/信息泄漏

high Nessus 插件 ID 74027

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在 Linux 内核中发现多个漏洞,可能导致拒绝服务、信息泄漏或权限升级。通用漏洞和暴露计划识别以下问题:

- CVE-2014-0196 Jiri Slaby 发现 pty 层中存在争用条件,这可导致拒绝服务或权限升级。

- CVE-2014-1737 CVE-2014-1738 Matthew Daley 发现软盘驱动程序的 FDRAWCMD ioctl 中存在信息泄漏和缺少输入审查。这可导致权限升级。

解决方案

升级 linux-2.6 和 user-mode-linux 程序包。

对于旧稳定发行版本 (squeeze),已在版本 2.6.32-48squeeze6 中修复此问题。

以下矩阵列出通过或为利用此更新以实现兼容性而重建的更多源程序包:

  Debian 6.0 (squeeze) user-mode-linux 2.6.32-1um-4+48squeeze6 注意:Debian 仔细跟踪活动安全支持下所有版本中每个 linux kernel 程序包中的所有已知安全问题。
但是,考虑到在内核中发现低危严重性安全问题的高频率和进行更新的资源要求,通常将不会同时为所有内核发布针对较低优先级问题的更新。而是将以交错或“跳步”方式发布。

另见

https://security-tracker.debian.org/tracker/CVE-2014-0196

https://security-tracker.debian.org/tracker/CVE-2014-1737

https://security-tracker.debian.org/tracker/CVE-2014-1738

https://packages.debian.org/source/squeeze/linux-2.6

https://www.debian.org/security/2014/dsa-2928

插件详情

严重性: High

ID: 74027

文件名: debian_DSA-2928.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2014/5/16

最近更新时间: 2023/5/14

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: High

分数: 8.8

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 6.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:linux-2.6, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/5/14

CISA 已知可遭利用的漏洞到期日期: 2023/6/2

可利用的方式

CANVAS (CANVAS)

Core Impact

参考资料信息

CVE: CVE-2014-0196, CVE-2014-1737, CVE-2014-1738

BID: 67199, 67300, 67302

DSA: 2928