Debian DSA-1865-1：linux-2.6 - サービス拒否/権限昇格

high Nessus プラグイン ID 44730

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Linux カーネルに、サービス拒否または権限昇格が発生する可能性があるいくつかの脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2009-1385 Neil Horman 氏が、e1000 ネットワークドライバーの修正がないことを発見しました。リモートユーザーが、特別に細工されたフレームサイズによってトリガーされるカーネルパニックを利用して、サービス拒否を発生させる可能性があります。

- CVE-2009-1389 Michael Tokarev 氏が、r8169 ネットワークドライバーの問題を発見しました。同じ LAN 上のリモートユーザーが、大きなサイズのフレームを受信することによってトリガーされるカーネルパニックを利用して、サービス拒否を発生させる可能性があります。

- CVE-2009-1630 Frank Filz 氏が、ローカルユーザーが nfs4 マウントを介してアクセスしたときに、実行権限のないファイルを実行できる可能性があることを発見しました。

- CVE-2009-1633 Jeff Layton 氏と Suresh Jayaraman 氏が、リモートユーザーがメモリを破損させる可能性がある CIFS ファイルシステムのいくつかのバッファオーバーフローを修正しました。

- CVE-2009-2692 Tavis Ormandy 氏と Julien Tinnes 氏が、proto_ops 構造体で sendpage 関数が初期化される方法に問題を発見しました。ローカルユーザーがこの脆弱性を利用して上位の権限を取得する可能性があります。

ソリューション

linux-2.6、fai-kernels、および user-mode-linux パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（etch）では、この問題は、バージョン 2.6.18.dfsg.1-24etch3 で修正済みです。

次のマトリックスは、この更新との互換性の維持またはこの更新を活用するために再構築された追加のパッケージのリストを示しています：

Debian 4.0（etch）fai-kernels 1.17+etch.24etch3 user-mode-linux 2.6.18-1um-2etch.24etch3 注：Debian は有効なセキュリティサポートの下、Linux カーネルパッケージ全リリースの既知のセキュリティ問題を、すべて慎重に追跡します。
ただし、カーネルに重要度の低いセキュリティ問題が高頻度で発見されていることと、更新を実行するためのリソース要件により、優先度の低い問題の更新は、通常はすべてのカーネルに対して同時にはリリースされません。代わりに、これらの更新は、段階的または交互にリリースされます。