Множественные уязвимости в ядре Linux

Дата публикации:	27.06.2016
Всего просмотров:	6346
Опасность:	Низкая
Наличие исправления:	Да
Количество уязвимостей:	2
CVSSv2 рейтинг:	4.9 (AV:L/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) 7.2 (AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
CVE ID:	CVE-2016-4998 CVE-2016-4997
Вектор эксплуатации:	Локальная
Воздействие:	Отказ в обслуживании Раскрытие важных данных Повышение привилегий
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Linux Kernel 3.14.x Linux Kernel 4.х
Уязвимые версии:	Linux kernel версии до 3.14.73, 4.4.14, and 4.6.3
Описание:	Обнаруженные уязвимости позволяют локальному пользователю вызвать отказ в обслуживании и повысить свои привилегии на системе. Уязвимость существует из-за ошибки проверки границ данных в реализации обработчика setsockopt IPT_SO_SET_REPLACE. Локальный пользователь может с помощью специально сформированного системного вызова setsockopt() вызвать повреждение динамической памяти и аварийно завершить работу системы или получить доступ к содержимому динамической памяти. Уязвимость существует из-за ошибки в реализации обработчика setsockopt IPT_SO_SET_REPLACE в подсистеме netfilter. Локальный пользователь может с помощью специально сформированного системного вызова compat_setsockopt() вызвать повреждение памяти и выполнить произвольный код на целевой системе с повышенными привилегиями.
Решение:	Установите исправление с сайта производителя.
Ссылки:	http://seclists.org/oss-sec/2016/q2/599 https://bugs.chromium.org/p/project-zero/issues/detail?id=758

Множественные уязвимости в ядре Linux

Подпишитесь на email рассылку