Debian DSA-3290-1:linux - 安全更新
high Nessus 插件 ID 84277
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
已在 Linux 内核中发现多个漏洞,可能导致权限升级、拒绝服务、信息泄漏或数据损坏。- CVE-2015-1805 Red Hat 发现 pipe iovec 读取和写入实现可能迭代两次 iovec,但是会修改 iovec 并导致第二次迭代访问错误的内存。本地用户可利用此缺陷导致系统崩溃,或者可能造成权限升级。这还可能在非恶意进程之间的管道中导致数据损坏和信息泄漏。
- CVE-2015-3636 KeenTeam 的 Wen Xu 和 wushi 发现获准创建 ping 套接字的用户可利用这些套接字在 32 位架构上使系统崩溃,以实现权限升级。但是,在默认情况下,Debian 系统中的用户都不能访问 ping 套接字。
- CVE-2015-4167 Carl Henrik Lunde 发现 UDF 实现缺少必需的长度检查。如果本地用户能够挂载设备,则可利用此缺陷导致系统崩溃。
解决方案
升级 linux 程序包。对于旧稳定发行版本 (wheezy),已在版本 3.2.68-1+deb7u2 中修复这些问题。
对于稳定发行版本 (jessie),这些问题已在版本 3.16.7-ckt11-1 或更早版本中修复,只有 CVE-2015-4167 会稍后修复。
另见
https://security-tracker.debian.org/tracker/CVE-2015-1805
https://security-tracker.debian.org/tracker/CVE-2015-3636
https://security-tracker.debian.org/tracker/CVE-2015-4167
插件详情
严重性: High
ID: 84277
文件名: debian_DSA-3290.nasl
版本: 2.13
类型: local
代理: unix
发布时间: 2015/6/19
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 6.3
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:linux, cpe:/o:debian:debian_linux:7.0, cpe:/o:debian:debian_linux:8.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/6/18
漏洞发布日期: 2015/8/5
参考资料信息
CVE: CVE-2015-1805, CVE-2015-3636, CVE-2015-4167
DSA: 3290