Debian DSA-1845-1：linux-2.6 - サービス拒否、権限昇格

high Nessus プラグイン ID 44710

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Linux カーネルで、サービス拒否または権限昇格が発生する可能性があるいくつかの脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2009-1895 Julien Tinnes 氏と Tavis Ormandy 氏が Linux パーソナリティコードの問題を報告しました。ローカルユーザーが、NULL ポインターを逆参照したり、権限をドロップしてコントロールをユーザーに返したりするために作成できる setuid バイナリを利用できる可能性があります。これにより、ユーザーが mmap_min_addr 制限のバイパスを利用して、任意のコードを実行できる可能性があります。

- CVE-2009-2287 Matt T. Yourst 氏は、kvm サブシステムに問題を発見しました。
/dev/kvm の操作権限を持つローカルユーザーが、無効な cr3 値を KVM_SET_SREGS コールに指定することで、サービス拒否（ハング）を引き起こす可能性があります。

- CVE-2009-2406 CVE-2009-2407 Ramon de Carvalho Valle 氏が、fsfuzzer ユーティリティを使用する eCryptfs レイヤーファイルシステムに 2 つの問題を発見しました。
eCryptfs マウントを実行する権限を持つローカルユーザーが eCryptfsファイルの内容を変更し、スタックがオーバーフローして特権が昇格される可能性があります。

ソリューション

linux-2.6 および user-mode-linux パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（lenny）では、これらの問題は、バージョン 2.6.26-17lenny1 で修正済みです。

旧安定版（oldstable）ディストリビューション（etch）では、これらの問題は、linux-2.6 および linux-2.6.24 への更新で修正済みです（該当する場合）。

注：Debian は積極的なセキュリティサポートの下、Linux カーネルパッケージ全リリースの既知のセキュリティ問題をすべて慎重に追跡しています。
ただし、カーネルに重要度の低いセキュリティ問題が高頻度で発見されていることと、更新を実行するためのリソース要件により、優先度の低い問題の更新は、通常はすべてのカーネルに対して同時にはリリースされません。代わりに、これらの更新は、段階的または交互にリリースされます。