Несколько уязвимостей в ядре Linux

Дата публикации:
08.06.2007
Дата изменения:
08.04.2009
Всего просмотров:
3570
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2007-2453
CVE-2007-2875
CVE-2007-2876
CVE-2007-3380
Вектор эксплуатации:
Удаленная
Воздействие:
Брут-форс атака
Отказ в обслуживании
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Linux Kernel 2.6.x
Уязвимые версии: Linux kernel версии до 2.6.20.13 и 2.6.21.4

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести брут-форс атаку, получить доступ к важным данным и вызвать отказ в обслуживании.

1. Ошибка разыменования нулевого указателя обнаружена в netfilter при обработке SCTP соединений. Удаленный пользователь может послать специально сформированный пакет и вызвать отказ в обслуживании системы.

2. Опустошение памяти обнаружено в функции "cpuset_task_read()" в файле /kernel/cpuset.c. Злоумышленник может просмотреть память ядра системы.

3. Уязвимость существует из-за того, что ядро некорректно обрабатывает seed для генератора случайных чисел, что может ослабить безопасность приложений, полагающихся на генератор случайных чисел ядра.

4. Уязвимость существует из-за ошибки в функции "tcp_accept_from_sock()" в файле fs/dlm/lowcomms.c. Злоумышленник может установить подключение к порту 21064/TCP и аварийно завершить работу службы, использующей DLM.

URL производителя: www.kernel.org

Решение: Установите последнюю версию ядра 2.6.20.13 или 2.6.21.4 с сайта производителя.

Ссылки: Linux Kernel cpuset tasks Information Disclosure Vulnerability
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.21.4
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.1
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=541
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=245922

или введите имя

CAPTCHA
FSA
08-06-2007 15:08:58
Ой не по душе мне такое развитие ядра... Во FreeBSD (да и вообще BSD) с этим как-то надёжнее!
0 |