Ubuntu 12.04 LTS:linux-lts-trusty 漏洞 (USN-2515-2)
medium Nessus 插件 ID 81645
语言:
简介
远程 Ubuntu 主机缺少一个或多个与安全有关的修补程序。描述
USN-2515-1 修复了 Linux 内核中的一些漏洞。在 arm64 架构上使用虚拟计数器 (CNTVCT) 时存在不相关的回归。此更新修复了该问题。我们对不便之处表示抱歉。
当客户机操作系统未初始化 SYSENTER MSR 时,在 SYTENTER 指令的内核虚拟机 (KVM) 的仿真中发现一个缺陷。客户机操作系统用户可利用此缺陷造成客户机操作系统拒绝服务(崩溃),或获得客户机操作系统的权限。(CVE-2015-0239)
Andy Lutomirski 发现 Linux 内核的线程本地存储 (TLS) 实现中存在信息泄漏,允许用户绕过 espfix 获取可用于绕过地址空间布局随机化 (ASLR) 保护机制的信息。本地用户可利用此缺陷从内核内存中获取潜在敏感信息。(CVE-2014-8133)
当指定了连接跟踪规则且连接跟踪协议处理程序模块未加载到 Linux 内核中时,在 iptables 中发现限制绕过。此缺陷可在使用连接跟踪规则时导致绕过系统中的防火墙规则。(CVE-2014-8160)
在 Linux 内核中进行文件重命名时发现一个缺陷。本地用户可利用此缺陷造成拒绝服务(死锁和系统挂起)。(CVE-2014-8559)
在某些命名空间应用场景中处理附属组成员资格的方式中发现一个缺陷。本地用户可利用此缺陷绕过文件权限限制。(CVE-2014-8989)
在基于 x86_64 的计算机的 Linux 内核中的任务切换函数处理线程本地存储 (TLS) 的方式中发现一个缺陷。本地用户可利用此缺陷绕过地址空间布局随机化 (ASLR) 保护机制。(CVE-2014-9419)
Prasad J Pandit 报告称 Linux 内核的 ISO 9660 CDROM 文件系统的 rock_continue 函数中存在缺陷。本地用户可利用此缺陷造成拒绝服务(系统崩溃或挂起)。
(CVE-2014-9420)
在 B.A.T.M.A.N 的拆分处理中发现一个缺陷。
Linux 内核中的高级网格协议。远程攻击者可利用此缺陷,通过拆分的数据包造成拒绝服务(mesh-node 系统崩溃)。(CVE-2014-9428)
在 Linux 内核的密钥环中发现争用条件。本地用户可通过 keyctl 命令造成拒绝服务(内存损坏或错误),或可能存在其他不明影响。
(CVE-2014-9529)
在解析 rock ridge ER 记录时,在 ISO 9660 CDROM 文件系统中发现内存泄漏。本地用户可利用此缺陷,通过构建的 iso9660 镜像从内核内存中获取敏感信息。(CVE-2014-9584)
在虚拟动态链接共享对象 (vDSO) 位置的地址空间布局随机化 (ASLR) 中发现一个缺陷。此缺陷使本地用户更容易绕过 ASLR 保护机制。(CVE-2014-9585)
Dmitry Chernenkov 发现 eCryptfs 的加密文件名解码中存在缓冲区溢出。本地非特权用户可利用此缺陷造成拒绝服务(系统崩溃)或获得管理权限。(CVE-2014-9683)。
解决方案
更新受影响的 linux-image-3.13.0-46-generic 和/或 linux-image-3.13.0-46-generic-lpae 程序包。另见
插件详情
严重性: Medium
ID: 81645
文件名: ubuntu_USN-2515-2.nasl
版本: 1.19
类型: local
代理: unix
发布时间: 2015/3/5
最近更新时间: 2021/1/19
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 4.8
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.13-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.13-generic-lpae, cpe:/o:canonical:ubuntu_linux:12.04:-:lts
必需的 KB 项: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2015/3/4
漏洞发布日期: 2014/11/10
参考资料信息
CVE: CVE-2014-8133, CVE-2014-8160, CVE-2014-8559, CVE-2014-8989, CVE-2014-9419, CVE-2014-9420, CVE-2014-9428, CVE-2014-9529, CVE-2014-9584, CVE-2014-9585, CVE-2014-9683, CVE-2015-0239
BID: 71684, 70854, 71794, 71883, 72061, 71717, 71990, 71880, 72643, 72842, 71154, 71847
USN: 2515-2