Säkerhetsbulletin från Debian
DSA-4313-1 linux -- säkerhetsuppdatering
- Rapporterat den:
- 2018-10-08
- Berörda paket:
- linux
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-15471, CVE-2018-18021.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Linuxkärnan som kan leda till utökning av privilegier, överbelastning eller informationsläckage.
- CVE-2018-15471 (XSA-270)
Felix Wilhelm från Google Project Zero upptäckte en brist i hash-hanteringen av Linuxkärnmodulen xen-netback. En illasinnad eller buggig frontända kan orsaka att (den vanligtvis priviligierade) bakändan att göra minnesåtkomster utanför avgränsningarna, vilket potentiellt kan leda till rättighetsökning, överbelastning eller informationaläckage.
- CVE-2018-18021
Man har upptäckt att undersystemet KVM på plattformen arm64 inte hanterar ioctln KVM_SET_ON_REG ordentligt. En angripare som kan skapa KVM-baserade virtuella maskiner kan dra fördel av denna brist för överbelastning (hypervisorpanik) eller utökning av privilegier (godtycklig omdirigering av hypervisorkontrollflödet med fullständig registerkontroll).
För den stabila utgåvan (Stretch) har dessa problem rättats i version 4.9.110-3+deb9u6.
Vi rekommenderar att ni uppgraderar era linux-paket.
För detaljerad säkerhetsstatus om linux vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/linux
- CVE-2018-15471 (XSA-270)