Ubuntu 13.10:linux 弱點 (USN-2075-1)

high Nessus Plugin ID 71799
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 5.9

Synopsis

遠端 Ubuntu 主機缺少一個或多個安全性相關修補程式。

描述

Vasily Kulikov 報告 Linux 核心的 ptrace 實作中有瑕疵。無權限的本機使用者可惡意利用此瑕疵,從核心記憶體取得敏感資訊。(CVE-2013-2929)

Dave Jones 和 Vince Weaver 報告,Linux 核心中允許一般使用者啟用函式追蹤的各事件子系統存在瑕疵。
無權限的本機使用者可惡意利用此瑕疵,進而可能從核心取得敏感資訊。(CVE-2013-2930)

Stephan Mueller 報告 Linux 核心的 ansi cprng 亂數產生器中有錯誤。此瑕疵使得本機攻擊者可輕易突破密碼編譯保護。(CVE-2013-4345)

Jason Wang 發現 Linux 核心的網路流解剖器中有錯誤。遠端攻擊者可惡意利用此瑕疵,進而引發拒絕服務 (無限迴圈)。(CVE-2013-4348)

在 Linux 核心的 Alchemy LCD 框架緩衝區驅動程式中發現多個整數溢位瑕疵。無權限的本機使用者可惡意利用此瑕疵以取得管理權限。
(CVE-2013-4511)

Nico Golde 和 Fabian Yamaguchi 報告,透過 WiFi 裝置的 Ozmo 裝置 USB 中發生緩衝區溢位。本機使用者可惡意利用此瑕疵以引發拒絕服務,或可能造成不明影響。
(CVE-2013-4513)

Nico Golde 和 Fabian Yamaguchi 報告,Linux 核心的 Agere Systems HERMES II 無線 PC 卡驅動程式中有瑕疵。具有 CAP_NET_ADMIN 功能的本機使用者可惡意利用此瑕疵以造成拒絕服務,或可能取得管理權限。
(CVE-2013-4514)

Nico Golde 和 Fabian Yamaguchi 報告,Linux 核心的 Beceem WIMAX 晶片組型裝置驅動程式有瑕疵。無權限的本機使用者可惡意利用此瑕疵,從核心記憶體取得敏感資訊。(CVE-2013-4515)

Nico Golde 和 Fabian Yamaguchi 報告,Linux 核心的 SystemBase Multi-2/PCI 序列卡驅動程式中有瑕疵。無權限的使用者可從核心記憶體取得敏感資訊。
(CVE-2013-4516)

Nico Golde 和 Fabian Yamaguchi 報告 Linux 核心的 debugfs 檔案系統中有瑕疵。有管理權限的本機使用者可惡意利用此瑕疵以造成拒絕服務 (OOPS)。(CVE-2013-6378)

Nico Golde 和 Fabian Yamaguchi 報告,Linux 核心之 Adaptec AACRAID scsi raid 裝置的驅動程式中有瑕疵。本機使用者可利用此瑕疵引發拒絕服務,或可能造成其他不明影響。(CVE-2013-6380)

在 Linux 核心之 Adaptec AACRAID scsi raid 裝置的相容 ioctl 中發現一個瑕疵。無權限的本機使用者可傳送管理命令至這些裝置,進而可能入侵裝置上儲存的資料。(CVE-2013-6383)

Nico Golde 報告 Linux 核心的使用者空間 IO (uio) 驅動程式中有瑕疵。本機使用者可惡意利用此瑕疵以造成拒絕服務 (記憶體損毀),或可能取得權限。
(CVE-2013-6763)

在 Linux 核心的 ipc 共用記憶體實作中發現爭用情形瑕疵。本機使用者可惡意利用此瑕疵以引發拒絕服務 (系統當機),或可能造成其他不明影響。(CVE-2013-7026)。

解決方案

更新受影響的 linux-image-3.11.0-15-generic 和/或 linux-image-3.11.0-15-generic-lpae 套件。

另請參閱

https://usn.ubuntu.com/2075-1/

Plugin 詳細資訊

嚴重性: High

ID: 71799

檔案名稱: ubuntu_USN-2075-1.nasl

版本: 1.14

類型: local

代理程式: unix

已發布: 2014/1/5

已更新: 2021/1/19

相依性: ssh_get_info.nasl, linux_alt_patch_detect.nasl

風險資訊

風險因素: High

VPR 評分: 5.9

CVSS v2.0

基本分數: 7.1

時間分數: 5.3

媒介: AV:N/AC:M/Au:N/C:N/I:N/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic-lpae, cpe:/o:canonical:ubuntu_linux:13.10

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/1/3

弱點發布日期: 2013/10/10

參考資訊

CVE: CVE-2013-2929, CVE-2013-2930, CVE-2013-4345, CVE-2013-4348, CVE-2013-4511, CVE-2013-4513, CVE-2013-4514, CVE-2013-4515, CVE-2013-4516, CVE-2013-6378, CVE-2013-6380, CVE-2013-6383, CVE-2013-6763, CVE-2013-7026

BID: 62740, 63536, 63886, 63887, 64111, 64312, 64318

USN: 2075-1