DebianDSA-4531-1：linux - セキュリティ更新

high Nessus プラグイン ID 129306

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

Linuxカーネルに、権限昇格、サービス拒否、または情報漏洩を引き起こす可能性がある、複数の脆弱性が発見されました。

- CVE-2019-14821Matt Delco氏から、KVMの一体化MMIO機能の競合状態についての報告がありました。これにより、カーネルで境界外アクセスが発生する可能性があります。/dev/kvmへのアクセス権を付与されたローカル攻撃者が、これを利用してサービス拒否（メモリの破損やクラッシュ）を引き起こしたり、権限昇格を実行したりする可能性があります。

- CVE-2019-14835Tencent Blade TeamのPeter Pi氏は、KVMホスト用のネットワークバックエンドドライバーであるvhost_netに境界チェックが欠落していることを発見しました。これにより、ホストがVMのライブ移行を開始した時点でバッファオーバーフローが発生します。VM制御権のある攻撃者がこれを利用して、サービス拒否（クラッシュ）や、権限昇格を引き起こす可能性があります。

- CVE-2019-15117Hui Peng氏とMathias Payer氏から、usbオーディオドライバーの記述子解析コードに境界チェックが欠落しているため、バッファオーバー読み取りが発生するという報告がありました。USBデバイスを追加できる攻撃者が、これを利用してサービス拒否（クラッシュ）を引き起こす可能性があります。

- CVE-2019-15118Hui Peng氏とMathias Payer氏から、usbオーディオドライバーの記述子解析コードで無制限の再起処理があるため、スタックオーバーフローが発生するという報告がありました。USBデバイスを追加できる攻撃者が、これを利用してサービス拒否（メモリの破損やクラッシュ）や、権限昇格を引き起こす可能性があります。amd64アーキテクチャおよびbusterのarm64アーキテクチャにおいて、これはカーネルスタック上のガードページによって緩和されるため、クラッシュだけを引き起こすことが可能です。

- CVE-2019-15902Brad Spengler氏から、バックポートエラーのためにptrace_get_debugreg()関数においてptraceサブシステムにspectre-v1脆弱性が再び発生しているという報告がありました。

ソリューション

Linuxパッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（stretch）では、これらの問題はバージョン4.9.189-3+deb9u1で修正されています。

安定版（stable）ディストリビューション（buster）では、これらの問題はバージョン4.19.67-2deb10u1で修正されています。