[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:55650] [Translate] [SECURITY] [DSA 2310-1] linux-2.6 security update

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:55650] [Translate] [SECURITY] [DSA 2310-1] linux-2.6 security update
Date: Sat, 24 Sep 2011 20:39:47 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.2.5
Message-id: <4E7DC181.10005@xxxxxxxxxxxx>
X-mail-count: 55650
User-agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10.5; ja-JPM; rv:1.9.2.22) Gecko/20110902 Thunderbird/3.1.14

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- -------------------------------------------------------------------------
Debian Security Advisory DSA-2310-1                   security@debian.org
http://www.debian.org/security/                              dann frazier
September 22, 2011                     http://www.debian.org/security/faq
- -------------------------------------------------------------------------

Package        : linux-2.6
Vulnerability  : 特権の昇格/サービス拒否攻撃/情報の漏洩
Problem type   : ローカル/リモート
Debian-specific: いいえ
CVE Id(s)      : CVE-2009-4067 CVE-2011-0712 CVE-2011-1020 CVE-2011-2209
                 CVE-2011-2211 CVE-2011-2213 CVE-2011-2484 CVE-2011-2491
                 CVE-2011-2492 CVE-2011-2495 CVE-2011-2496 CVE-2011-2497
                 CVE-2011-2525 CVE-2011-2928 CVE-2011-3188 CVE-2011-3191
Debian Bug     : 633738

Linux カーネルに、複数の問題が発見されました。これらの欠陥への攻撃によ
り、サービス拒否攻撃、特権の昇格、情報の漏洩などが可能です。The Common
Vulnerabilities and Exposures project は以下の問題を認識しています。

CVE-2009-4067

    MWR InfoSecurity の Rafael Dominguez Vega さんにより、auerswald モ
    ジュールに欠陥が報告されました。このモジュールは Auerswald 社の電
    子交換機・システム電話 USB デバイス向けの USB ドライバです。システ
    ムの USB ポートに物理的アクセスが行える攻撃者から、細工した USB デ
    バイスを用いた特権の昇格が可能です。

CVE-2011-0712

    MWR InfoSecurity の Rafael Dominguez Vega さんにより、caiaq モジュ
    ールに欠陥が報告されました。このモジュールは Native Instruments 社
    の USB オーディオデバイス向けの USB ドライバです。システムの USB
    ポートに物理的アクセスが行える攻撃者から、細工した USB デバイスを
    用いた特権の昇格が可能です。

CVE-2011-1020

    Kees Cook さんにより、/proc ファイルシステムに欠陥が発見されました。
    ローカルユーザが setuid バイナリの実行後、機密のプロセス情報にアク
    セス可能です。

CVE-2011-2209

    Dan Rosenberg さんにより、alpha アーキテクチャの osf_sysinfo() シ
    ステムコールに欠陥が発見されました。ローカルユーザがカーネルメモリ
    上の機密情報にアクセス可能です。

CVE-2011-2211

    Dan Rosenberg さんにより、alpha アーキテクチャの osf_wait4() シス
    テムコールに欠陥が発見されました。ローカルユーザからの特権の昇格が
    可能です。

CVE-2011-2213

    Dan Rosenberg さんにより、INET ソケットモニタインターフェースに欠
    陥が発見されました。ローカルユーザがコードを注入することで、カーネ
    ルを無限ループに落とすサービス拒否攻撃を実行可能です。

CVE-2011-2484

    Openwall の Vasiliy Kulikov さんにより、プロセスの exit ハンドラの
    数が制限されていないため、リソース枯渇によるサービス拒否攻撃 (cpu
    時間とメモリ) を行えることが発見されました。

CVE-2011-2491

    Vasily Averin さんにより、NFS ロック実装に欠陥が発見されました。悪
    意を持った NFS サーバから、unlock コールを行ったクライアントをハン
    グアップさせることが可能です。

CVE-2011-2492

    Marek Kroemeke さんと Filip Palian さんにより、Bluetooth サブシステ
    ムに構造体要素の初期化漏れが発見されました。この欠陥によりスタック
    メモリがリークするため、カーネル内の機密情報が漏洩する可能性があり
    ます。

CVE-2011-2495

    Openwall の Vasiliy Kulikov さんにより、プロセスの proc ディレクト
    リの io ファイルが誰からでも読めるため、パスワード長などの機密情報
    がローカルに漏洩することが発見されました。

CVE-2011-2496

    Robert Swiecki さんにより、mremap() により BUG_ON をアサートできる
    ため、ローカルのサービス拒否攻撃に悪用可能であることが発見されまし
    た。

CVE-2011-2497

    Dan Rosenberg さんにより、Bluetooth サブシステムに整数アンダフロー
    があり、サービス拒否攻撃や特権の昇格に繋がることが発見されました。

CVE-2011-2525

    Ben Pfaff さんにより、ネットワークスケジューリングコードに欠陥が報
    告されました。ローカルユーザが、細工したネットリンクメッセージを送
    ることでサービス拒否攻撃 (ヌルポインタ参照) を実行可能です。

CVE-2011-2928

    Timo Warns さんにより、Be ファイルシステムイメージの検証が不十分で、
    不正なイメージをマウントさせることでローカルのサービス拒否攻撃に繋が
    ることが発見されました。

CVE-2011-3188

    Dan Kaminsky さんにより、TCP プロトコル実装のシーケンス番号生成に脆
    弱性が報告されました。この欠陥を悪用して、リモートの攻撃者が接続中の
    セッションにパケットを挿入可能です。

CVE-2011-3191

    Darren Lavender さんにより、Common Internet File System (CIFS ファイ
    ルシステム) に欠陥が報告されました。悪意を持ったファイルサーバからメ
    モリ破壊を起こせるため、サービス拒否攻撃に繋がります。

今回の修正では、以前のセキュリティ修正 CVE-2011-1768 (Debian: #633738)
でのエンバグの修正も行われています。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は
バージョン 2.6.26-26lenny4 で修正されています。arm および alpha 向けの更
新はまだ提供未で、近くリリース予定です。hppa および ia64 アーキテクチャ
向けの修正は近く予定されている 5.0.9 ポイントリリースで提供予定です。

以下は今回の更新の効果を得るため、または今回の更新との互換性を維持する
ために再ビルドした追加ソースパッケージの一覧表です。

                                             Debian 5.0 (lenny)
     user-mode-linux                         2.6.26-1um-2+26lenny4

直ぐに linux-2.6 と user-mode-linux パッケージをアップグレードすること
を勧めます。これらの更新はシステムの再起動後までは有効になりません。

Note: Debian では、既知のセキュリティ欠陥は、現在セキュリティサポート
の有効な全てのリリースの Linux カーネルパッケージに対して精査されてい
ます。但し、カーネルで発見される緊急性の低いセキュリティ欠陥の報告頻
度は高いため、更新に要するリソース要求を考慮して、低い優先度の問題は
全てのカーネルに対して同時には提供されません。そのような問題の修正は
階段状、または一気に纏めて、というリリース形態となります。

Debian Security Advisories に関する説明、これらの更新をシステムに適用
する方法、FAQ などは http://www.debian.org/security/ を参照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:55649] [Translate] [SECURITY] [DSA 2305-1] vsftpd security update
Next by Date: [debian-users:55651] scim-mozcがインストールされない。
Previous by thread: [debian-users:55649] [Translate] [SECURITY] [DSA 2305-1] vsftpd security update
Next by thread: [debian-users:55651] scim-mozcがインストールされない。
Index(es):
- Date
- Thread