Ubuntu 13.10：linux 弱點 (USN-2075-1)

high Nessus Plugin ID 71799

語系：

概要

遠端 Ubuntu 主機缺少一個或多個安全性相關修補程式。

說明

Vasily Kulikov 報告 Linux 核心的 ptrace 實作中有一個瑕疵。無權限的本機使用者可惡意利用此瑕疵，從核心記憶體取得敏感資訊。(CVE-2013-2929)

Dave Jones 和 Vince Weaver 報告，Linux 核心中允許一般使用者啟用函式追蹤的各事件子系統存在瑕疵。
無權限的本機使用者可惡意利用此瑕疵，進而可能從核心取得敏感資訊。(CVE-2013-2930)

Stephan Mueller 報告 Linux 核心的 ansi cprng 亂數產生器中有錯誤。此瑕疵使得本機攻擊者可輕易突破密碼編譯保護。(CVE-2013-4345)

Jason Wang 發現 Linux 核心的網路流解剖器中有錯誤。遠端攻擊者可惡意利用此瑕疵，進而引發拒絕服務 (無限迴圈)。(CVE-2013-4348)

在 Linux 核心的 Alchemy LCD 框架緩衝區驅動程式中發現多個整數溢位瑕疵。無權限的本機使用者可惡意利用此瑕疵以取得管理權限。
(CVE-2013-4511)

Nico Golde 和 Fabian Yamaguchi 報告，透過 WiFi 裝置的 Ozmo 裝置 USB 中發生緩衝區溢位。本機使用者可惡意利用此瑕疵以引發拒絕服務，或可能造成不明影響。
(CVE-2013-4513)

Nico Golde 和 Fabian Yamaguchi 報告，Linux 核心的 Agere Systems HERMES II 無線 PC 卡驅動程式中有瑕疵。具有 CAP_NET_ADMIN 功能的本機使用者可惡意利用此瑕疵以造成拒絕服務，或可能取得管理權限。
(CVE-2013-4514)

Nico Golde 和 Fabian Yamaguchi 報告，Linux 核心的 Beceem WIMAX 晶片組型裝置驅動程式有瑕疵。無權限的本機使用者可惡意利用此瑕疵，從核心記憶體取得敏感資訊。(CVE-2013-4515)

Nico Golde 和 Fabian Yamaguchi 報告，Linux 核心的 SystemBase Multi-2/PCI 序列卡驅動程式中有瑕疵。無權限的使用者可從核心記憶體取得敏感資訊。
(CVE-2013-4516)

Nico Golde 和 Fabian Yamaguchi 報告 Linux 核心的 debugfs 檔案系統中有瑕疵。有管理權限的本機使用者可惡意利用此瑕疵以造成拒絕服務 (OOPS)。(CVE-2013-6378)

Nico Golde 和 Fabian Yamaguchi 報告，Linux 核心之 Adaptec AACRAID scsi raid 裝置的驅動程式中有瑕疵。本機使用者可利用此瑕疵引發拒絕服務，或可能造成其他不明影響。(CVE-2013-6380)

在 Linux 核心的 Adaptec AACRAID scsi raid 裝置的相容 ioctl 中發現一個瑕疵。無權限的本機使用者可傳送管理命令至這些裝置，進而可能入侵裝置上儲存的資料。(CVE-2013-6383)

Nico Golde 報告 Linux 核心的使用者空間 IO (uio) 驅動程式中有瑕疵。本機使用者可惡意利用此瑕疵以造成拒絕服務 (記憶體損毀)，或可能取得權限。
(CVE-2013-6763)

在 Linux 核心的 ipc 共用記憶體實作中發現爭用情形瑕疵。本機使用者可惡意利用此瑕疵以引發拒絕服務 (系統當機)，或可能造成其他不明影響。(CVE-2013-7026)。

請注意，Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

解決方案

更新受影響的 linux-image-3.11-generic 和/或 linux-image-3.11-generic-lpae 套件。

另請參閱

https://usn.ubuntu.com/2075-1/

Plugin 詳細資訊

嚴重性: High

ID: 71799

檔案名稱: ubuntu_USN-2075-1.nasl

版本: 1.15

類型: local

代理程式: unix

系列: Ubuntu Local Security Checks

已發布: 2014/1/5

已更新: 2023/4/7

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.1

時間分數: 5.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-3.11-generic-lpae, cpe:/o:canonical:ubuntu_linux:13.10

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/1/3

弱點發布日期: 2013/10/10

參考資訊

CVE: CVE-2013-2929, CVE-2013-2930, CVE-2013-4345, CVE-2013-4348, CVE-2013-4511, CVE-2013-4513, CVE-2013-4514, CVE-2013-4515, CVE-2013-4516, CVE-2013-6378, CVE-2013-6380, CVE-2013-6383, CVE-2013-6763, CVE-2013-7026

BID: 62740, 63536, 63886, 63887, 64111, 64312, 64318

USN: 2075-1