Разработчики Debian на прошлой неделе оповестили пользователей Linux о новом билде ядра Linux — linux-2.6. В нем исправлено 11 различных уязвимостей, которые делают ядро подверженным DoS-атакам, утечкам информации и повышению прав доступа.

Данн Фразьер, администратор Debian, анонсировал обновления через рассылку компании в пятницу.

Первые два CVE (Common Vulnerabilities and Exposures) исправляют утечки информации в ядре, которые могли быть реализованы на 64-битной системе (CVE-2013-2141), и, пусть это и звучит как архаизм, с помощью привода CD-ROM (CVE-2013-2164). Согласно сообщению Джонатана Сэлвана, парижского Linux-исследователя, при определенных условиях локальный пользователь на системе с неисправным приводом CD-ROM мог получить доступ к важным областям памяти ядра.

Сэлван также обнаружил дополнительную уязвимость в ядре openvz, с помощью которой локальные пользователи могли получить доступ к памяти ядра.

Киз Кук, член группы безопасности Ubuntu, обнаружил 4 из 11 уязвимостей. Две из них могли позволить атакующему уронить систему через DoS-атаку (CVE-2013-2888 и 2892), в то время как другие две были менее серьезны и касались блочной подсистемы и сетевого драйвера b43. Эти уязвимости могут иметь значение только на специфично сконфигурированных системах.

Остальные исправления нацелены на различные проблемы, включая утечки памяти в семействе сокетов PF_KEYv2 и протоколе SCTP.

Для обычного Debian, который сейчас является одним из наиболее популярных дистрибутивов Linux, это должно побудить пользователей к обновлению ядра до linux-2.6 и всех связанных пакетов Linux пользовательского режима.

Для получения дополнительной информации об уязвимостях читайте пятничное сообщение Debian DSA-2766-1.

Категории: Уязвимости