検出

Debian DSA-2012-1 : linux-2.6 - 権限昇格/サービス拒否

high Nessus プラグイン ID 45054

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

Linux カーネルで、サービス拒否または権限昇格が発生する可能性がある 2 つの脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:

- CVE-2009-3725 Philipp Reisner 氏は、コネクタサブシステムに問題があることを報告しました。これにより、権限のないユーザーが netlink パケットを送信する可能性があります。これにより、ローカルのユーザーが、権限のあるユーザーに対して通常確保される uvesafb デバイスの設定を操作する可能性があります。

- CVE-2010-0622 Jerome Marchand 氏は、futex サブシステムで問題を報告しました。この問題により、ローカルユーザーは無効な futex 状態を強制することができ、サービス拒否(oops)という結果になります。

この更新には、以前の更新で導入された回帰の修正も含まれています。詳細については、参照されている Debian バグページを参照してください。

ソリューション

linux-2.6 および user-mode-linux パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(lenny)では、この問題は、バージョン 2.6.26-21lenny4 で修正済みです。

次のマトリックスでは、この更新との互換性の維持またはこの更新を活用するために再ビルドされた追加のソースパッケージのリストを示しています。

   Debian 5.0(lenny)user-mode-linux 2.6.26-1um-2+21lenny4

参考資料

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=568561

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=570554

https://security-tracker.debian.org/tracker/CVE-2009-3725

https://security-tracker.debian.org/tracker/CVE-2010-0622

https://www.debian.org/security/2010/dsa-2012

プラグインの詳細

深刻度: High

ID: 45054

ファイル名: debian_DSA-2012.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2010/3/15

更新日: 2021/1/4

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.2

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:linux-2.6, cpe:/o:debian:debian_linux:5.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

パッチ公開日: 2010/3/11

参照情報

CVE: CVE-2009-3725, CVE-2010-0622

CWE: 264

DSA: 2012