Ubuntu 13.10:Linux 漏洞 (USN-2289-1)

high Nessus 插件 ID 76568

简介

远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。

描述

据 Sasha Levin 报告,与第二层隧道协议 (L2TP) 配合使用时,Linux 内核的点对点协议 (PPP) 中存在缺陷。
本地用户可利用此缺陷获得管理权限。(CVE-2014-4943)

Michael S. Tsirkin 发现在使用 vhost-net 的 zerocopy 功能时,Linux 内核的 skbs 分段中存在信息泄漏。本地攻击者可利用此缺陷获取内核内存中的潜在敏感信息。(CVE-2014-0131)

审计某些 syscall 时,在 Linux 内核的审计子系统中发现一个缺陷。本地攻击者可利用此缺陷获取内核内存中的潜在敏感单位值或造成拒绝服务 (OOPS)。(CVE-2014-3917)

在关于 inode 权限的用户命名空间的 Linux 内核的实现中发现一个缺陷。本地用户可以通过创建用户命名空间来利用此缺陷,从而获取管理权限。(CVE-2014-4014)

Don Bailey 在 Linux 内核使用的 LZO 解压缩算法中发现一个缺陷。攻击者可利用此缺陷造成拒绝服务(内存损坏或 OOPS)。(CVE-2014-4608)

Don Bailey 和 Ludvig Strigeus 发现,当由不符合 API 限制的代码使用时,LZ4 解压缩算法的 Linux 内核的实现中存在整数溢出。攻击者可利用此缺陷造成拒绝服务(内存损坏)或可能造成其他不明影响。(CVE-2014-4611)。

解决方案

更新受影响的 linux-image-3.11.0-26-generic 和/或 linux-image-3.11.0-26-generic-lpae 程序包。

另见

https://usn.ubuntu.com/2289-1/

插件详情

严重性: High

ID: 76568

文件名: ubuntu_USN-2289-1.nasl

版本: 1.21

类型: local

代理: unix

发布时间: 2014/7/17

最近更新时间: 2021/1/19

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 8.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic-lpae, cpe:/o:canonical:ubuntu_linux:13.10

必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/7/16

漏洞发布日期: 2014/3/24

可利用的方式

CANVAS (CANVAS)

参考资料信息

CVE: CVE-2014-0131, CVE-2014-3917, CVE-2014-4014, CVE-2014-4608, CVE-2014-4611, CVE-2014-4943

BID: 66101, 67699, 67988, 68214, 68218, 68683

USN: 2289-1