Log in Page Discussion History Go to the site toolbox

050808/DSA-1630

From BluWiki

DSA-1630 linux 2.6.18 -- Múltiples vulnerabilidades

Fecha de reporte: 21 Ago 2008

Paquetes afectados: linux-2.6

Más información:

Múltiples vulnerabilidades han sido descubiertas en el kernel Linux que pudieron implicar denegación de servicio o ejecución de código arbitrario. El proyecto "The Common Vulnerabilities and Exposures" identifica los siguientes problemas:

  • CVE-2007-6282: Dirk Nehring descubrió una vulnerabilidad en el código de IPsec que permite a usuarios remotos provocar una denegación de servicio enviando un paquete ESP especialmente elaborado.
  • CVE-2008-0598: Tavis Ormandy descubrió una vulnerabilidad que permite a usuarios locales acceder a memoria no inicializada del kernel, posibilitando la filtración de datos sensibles. Este problema es especifico de las imágenes de kernel amd64-*.
  • CVE-2008-2729: Andi Kleen descubrió un problema donde memoria no inicializada del kernel estaba siendo filtrada a espacio de usuario durante una excepción. Este problema pudo permitir a usuarios locales obtener acceso a datos sensibles. Solo las imágenes de kernel amd64-* de Debian son afectadas.
  • CVE-2008-2812: Alan Cox descubrió un problema en varios controladores de tty que permiten a usuarios locales provocar una denegación de servicio (des-referenciación de puntero NULL) y posiblemente obtener privilegios elevados.
  • CVE-2008-2826: Gabriel Campana descubrió un desbordamiento de enteros en el código de sctp que pueden ser explotados por usuarios locales para causar una denegación de servicio.
  • CVE-2008-2931: Miklos Szeredi reportó la falta de verificación de privilegio en la función do_change_type(). Esto permite a usuarios locales sin privilegios cambiar las propiedades de puntos de montaje.
  • CVE-2008-3272: Tobias Klein reportó una fuga de datos explotable en la función snd_seq_oss_synth_make_info(). Esto pudo permitir a usuarios locales obtener acceso a información sensible.
  • CVE-2008-3275: Zoltan Sogor descubrió un error de codificación en el VFS que permite a usuarios locales explotar una filtración de la memoria del kernel resultando en una denegación de servicio.

Para la distribución estable (etch), estos problemas han sido arreglados en la versión 2.6.18.dfsg.1-22etch2.

Le recomendamos actualizar sus paquetes linux-2.6, fai-kernels, y user-mode-linux.

Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00216.html

Site Toolbox:

Personal tools
GNU Free Documentation License 1.2
This page was last modified on 22 August 2008, at 02:52.
Disclaimers - About BluWiki