Ubuntu 13.10:linux の脆弱性(USN-2075-1)

high Nessus プラグイン ID 71799
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 5.9

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ関連パッチがありません。

説明

Vasily Kulikov 氏は、ptrace の Linux カーネル実装における欠陥を報告しました。権限のないローカルユーザーがこの欠陥を悪用して、カーネルメモリから機密情報を入手する可能性があります。(CVE-2013-2929)

Dave Jones 氏および Vince Weaver 氏は、標準ユーザーによる関数トレースの有効化を可能にする、Linux カーネルのイベント別サブシステムの欠陥を報告しました。
権限のないローカルユーザーがこの欠陥を悪用して、カーネルから機密情報を入手する可能性があります。(CVE-2013-2930)

Stephan Mueller 氏は、Linux カーネルの ansi cprng 乱数発生器にエラーがあることを報告しました。この欠陥により、ローカルの攻撃者は、暗号保護を簡単に打ち破ることができます。(CVE-2013-4345)

Jason Wang 氏は、Linux カーネルのネットワークフローディセクタにバグを発見しました。リモートの攻撃者がこの欠陥を悪用して、サービス拒否(無限ループ)を引き起こす可能性があります。(CVE-2013-4348)

Linux カーネルの Alchemy LCD フレームバッファドライバーに、複数の整数オーバーフローの欠陥が発見されました。権限のないローカルユーザーがこの欠陥を悪用して、管理権限を取得する恐れがあります。
(CVE-2013-4511)

Nico Golde 氏および Fabian Yamaguchi 氏は、Ozmo Devices USB over WiFi デバイスにおけるバッファオーバーフローを報告しました。ローカルユーザーがこの欠陥を悪用して、サービス拒否を引き起したり、詳細不明の影響を与えたりする可能性があります。
(CVE-2013-4513)

Nico Golde 氏および Fabian Yamaguchi 氏は、Agere Systems HERMES II ワイヤレス PC カード用の Linux カーネルのドライバーにおける欠陥を報告しました。CAP_NET_ADMIN の能力があるローカルユーザーがこの欠陥を悪用して、サービス拒否を引き起したり、管理者権限を取得したりする可能性があります。
(CVE-2013-4514)

Nico Golde 氏および Fabian Yamaguchi 氏は、Beceem WIMAX チップセットベースのデバイス用の Linux カーネルのドライバーにおける欠陥を報告しました。権限のないローカルユーザーがこの欠陥を悪用して、カーネルメモリから機密情報を入手する可能性があります。(CVE-2013-4515)

Nico Golde 氏および Fabian Yamaguchi 氏は、SystemBase Multi-2/PCI シリアルカード用の Linux カーネルのドライバーにおける欠陥を報告しました。権限のないユーザーが、カーネルメモリから機密情報を入手する可能性があります。
(CVE-2013-4516)

Nico Golde 氏および Fabian Yamaguchi 氏は、Linux カーネルの debugfs ファイルシステムにおける欠陥を報告しました。管理者権限のあるローカルユーザーがこの欠陥を悪用して、サービス拒否(OOPS)を引き起こす可能性があります。(CVE-2013-6378)

Nico Golde 氏および Fabian Yamaguchi 氏は、Linux カーネルの Adaptec AACRAID scsi raid デバイスのドライバーにおける欠陥を報告しました。ローカルユーザーがこの欠陥を利用して、サービス拒否を引き起したり、その他の詳細不明の影響を与えたりする可能性があります。(CVE-2013-6380)

Adaptec AACRAID scsi raid デバイス用の Linux カーネルの compat ioctl で、欠陥が発見されました。権限のないローカルユーザーがこれらのデバイスに管理コマンドを送信することで、デバイスに保存されているデータが漏洩する可能性があります。(CVE-2013-6383)

Nico Golde 氏は、Linux カーネルの userspace IO(uio)ドライバーにおける欠陥を報告しました。ローカルユーザーがこの欠陥を悪用して、サービス拒否(メモリ破損)を引き起こしたり、権限を取得したりする可能性があります。
(CVE-2013-6763)

Linux カーネルの ipc 共有メモリの実装に、競合状態の欠陥が見つかりました。ローカルユーザーがこの欠陥を悪用して、サービス拒否(システムクラッシュ)を引き起したり、その他の詳細不明の影響を与えたりする可能性があります。(CVE-2013-7026)。

ソリューション

影響を受ける linux-image-3.11.0-15-generic および/または linux-image-3.11.0-15-generic-lpae パッケージを更新してください。

関連情報

https://usn.ubuntu.com/2075-1/

プラグインの詳細

深刻度: High

ID: 71799

ファイル名: ubuntu_USN-2075-1.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2014/1/5

更新日: 2021/1/19

依存関係: ssh_get_info.nasl, linux_alt_patch_detect.nasl

リスク情報

リスクファクター: High

VPR スコア: 5.9

CVSS v2.0

Base Score: 7.1

Temporal Score: 5.3

ベクトル: AV:N/AC:M/Au:N/C:N/I:N/A:C

現状ベクトル: E:U/RL:OF/RC:C

脆弱性の情報

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic-lpae, cpe:/o:canonical:ubuntu_linux:13.10

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/1/3

脆弱性公開日: 2013/10/10

参照情報

CVE: CVE-2013-2929, CVE-2013-2930, CVE-2013-4345, CVE-2013-4348, CVE-2013-4511, CVE-2013-4513, CVE-2013-4514, CVE-2013-4515, CVE-2013-4516, CVE-2013-6378, CVE-2013-6380, CVE-2013-6383, CVE-2013-6763, CVE-2013-7026

BID: 62740, 63536, 63886, 63887, 64111, 64312, 64318

USN: 2075-1