[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

/security/2007/dsa-1381

From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: /security/2007/dsa-1381
Date: Fri, 5 Oct 2007 14:10:44 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
Message-id: <20071005140654.8b5ae6bc.henrich@xxxxxxxxxxxxxx>
X-mail-count: 11694
X-mailer: Sylpheed 2.4.7 (GTK+ 2.12.0; i486-pc-linux-gnu)

　やまねです。
　/security/2007/dsa-1381 訳です。査読願います。

------------------------------------------------------------------------------
#use wml::debian::translation-check translation="1.1"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>
Linux カーネル中に、ローカル及びリモートから攻撃可能な、サービス不能 (DoS) 
攻撃や任意のコードの実効を招く可能性がある脆弱性が複数発見されています。
Common Vulnerabilities and Exposures プロジェクトでは、以下の問題を認識しています:</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5755";>CVE-2006-5755</a>

    <p>NT ビットが次のタスクへ漏洩することにより、'amd64' 版カーネルを動作させているシステム上で、
攻撃者がローカルからサービス拒否 (DoS) 攻撃を引き起こすことが可能になります。
安定版ディストリビューション (stable、コードネーム etch) 
は、リリースの時点ではこの問題の影響を受けないものと考えられていましたが、
Bastian Blank さんは、この問題が 'xen-amd64' および 'xen-vserver-amd64'
 版カーネルにも存在することを見つけたため、この DSA によって問題を修正します。</p></li>


<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4133";>CVE-2007-4133</a>

    <p>Hugh Dickins さんは、hugetlbfs にローカルから DoS 攻撃を受ける (panic を起こす) 
可能性があることを発見しました。hugetlb_vmtruncate_list から prio_tree 
へ誤って変換することによって、ローカルのユーザが exit_mmap で BUG_ON() 
の呼び出しを引き起こすことが可能になります。</p></li>


<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4573";>CVE-2007-4573</a>

    <p>Wojciech Purczynski さんは、x86_64 システム上で、
ローカルユーザが攻撃によって特権ユーザ権限を取得可能な脆弱性を発見しました。
これは、ia32 システムコールのエミュレーションにおいて、
レジスタの上位ビットが正しくクリアされていないことから発生します。
この脆弱性は Debian amd64 版のユーザや、i386 版で amd64 用 linux-image 
を動かしているユーザにも影響します。</p></li>

    <p>DSA-1378 では、'amd64' 用カーネルについてこの問題を修正しましたが、
Tim Wickberg さんと Ralf Hemmenst&Atilde;dt さんが報告した 'xen-amd64' 
および 'xen-vserver-amd64' で未解決の問題がある件については、この DSA で修正されます。</p></li>


<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5093";>CVE-2007-5093</a>

    <p>Alex Smith さんは、特定の webcam デバイスでの pwc ドライバの問題を発見しました。
ユーザ空間のアプリケーションがデバイスをオープンしている間にそのデバイスが引き抜かれた場合、
ドライバはユーザ空間でデバイスをクローズするのを待つことになり、
USB サブシステムをブロックしてしまいます。
この問題は、攻撃者がシステムへ物理的にアクセス可能であるか、
ローカルのユーザにデバイスを外させる必要があるため、セキュリティ的な影響は低いものとなっています。</p></li>

</ul>
    
<p>安定版ディストリビューション (stable、コードネーム etch) では、
これらの問題はバージョン 2.6.18.dfsg.1-13etch4 で修正されています。</p>

<p>この勧告が出された時点では、amd64 アーキテクチャ用のビルドのみが入手可能です。
amd64 固有の問題の優先度が高いため、不完全ながらも更新を発表しました。
この勧告は他のアーキテクチャ用ビルドが入手可能になった時点で更新される予定です。</p>

<p>ただちにカーネルパッケージを更新してマシンの再起動の実施をおすすめします。
カーネルソースパッケージからカスタムカーネルをビルドした場合、
これらの修正を反映するために再ビルドが必要となります。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1381.data"

Prev by Date: /security/2007/dsa-1383
Next by Date: /security/2007/dsa-1356
Previous by thread: Re: /security/2007/dsa-1383
Next by thread: /security/2007/dsa-1356
Index(es):
- Date
- Thread