在 Linux 核心中發現數個弱點，這些弱點可能會導致權限提升、拒絕服務或資訊洩漏。CVE-2019-2101 Andrey Konovalov 發現 USB 視訊類別驅動程式 (uvcvideo) 無法一致地處理裝置描述元中的類型欄位，這可能導致堆積緩衝區溢位。這可能會用來造成拒絕服務或可能提升權限。CVE-2019-10639 Amit Klein 和 Benny Pinkas 發現，IP 封包 ID 的產生使用包含核心虛擬位址的弱雜湊函式。在 Linux 3.16 中，此雜湊函式不用於 IP ID，但在網路堆疊中用於其他目的。在啟用 kASLR 的自訂核心配置中，這可能會削弱 kASLR。CVE-2019-13272 Jann Horn 發現 Linux 核心中的 ptrace 子系統未正確管理要建立 ptrace 關係的處理程序的認證，進而讓本機使用者在某些情況下獲得 root 權限。針對 Debian 8「Jessie」，這些問題已在 3.16.70-1 版本中修正。此更新也修正了 CVE-2019-11478 (#930904) 的原始修正引入的迴歸，並包括上游穩定更新版的其他修正。建議您升級 linux 和 linux-latest 套件。當二進位套件名稱變更時，您將需要使用 ‘apt-get upgrade --with-new-pkgs’ 或 ‘apt upgrade’。建議您升級 linux 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-1862-1：linux 安全性更新

high Nessus Plugin ID 126964

版本 1.10