Debian DSA-3060-1：linux - 安全更新

high Nessus 插件 ID 78784

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

已在 Linux 内核中发现多个可能导致拒绝服务的漏洞：

- CVE-2014-3610 Google 的 Lars Bull 和 Nadav Amit 报告 KVM 处理某些 MSR 寄存器的非规范写入的方法中存在缺陷。特权客户机用户可利用此缺陷在主机上造成拒绝服务（内核错误）。

- CVE-2014-3611 Google 的 Lars Bull 报告 KVM 的 PIT 仿真代码中存在争用条件。有权访问 PIT I/O 端口的本地访客用户可利用此缺陷在主机上造成拒绝服务（崩溃）。

- CVE-2014-3645/ CVE-2014-3646 Intel Security 的高级威胁研究团队发现，KVM 子系统未妥善处理针对 invept（源自 EPT 的无效转换）和 invvpid（基于 VPID 的无效转换）指令的 VM 退出。在采用 Intel 处理器且支持 invept/invppid VM 退出的主机上，非特权客户机用户可利用这些指令导致访客崩溃。

- CVE-2014-3647 Nadav Amit 报告，在仿真更改 rip 的指令时，KVM 未正确处理非规范地址，从而可能导致 VM 进入失败。有权访问 I/O 或 MMIO 的访客用户可利用此缺陷导致客户机拒绝服务（系统崩溃）。

- CVE-2014-3673 Red Hat 的 Liu Wei 发现 net/core/skbuff.c 中的缺陷导致接收畸形 ASCONF 区块时的内核错误。远程攻击者可利用此缺陷造成系统崩溃。

- CVE-2014-3687 发现 sctp 堆栈中的缺陷导致接收重复的 ASCONF 区块时的内核错误。远程攻击者可利用此缺陷造成系统崩溃。

- CVE-2014-3688 已发现 sctp 堆栈易于发生由过度排队导致的可远程触发的内存压力问题。远程攻击者可利用此缺陷在系统上造成拒绝服务情况。

- CVE-2014-3690 Andy Lutomirski 发现 KVM 中不正确的寄存器处理可能导致拒绝服务。

- CVE-2014-7207 多个 Debian 开发人员报告了 IPv6 网络子系统中的一个问题。可访问 tun 或 macvtap 设备的本地用户或者连接到此类设备的虚拟机可造成拒绝服务（系统崩溃）。

此更新包括与禁用 macvtap、tun 和 virtio_net 驱动程序中的 UFO（UDP 片段卸载）的 CVE-2014-7207 相关的缺陷补丁。如果 VM 已分配 virtio 网络设备，这将导致从运行较早内核版本的主机向运行此内核版本的主机迁移正在运行的 VM 失败。为了迁移此类 VM，首先必须关闭它。