• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2013:1173-00

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2013:1173-00

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:L/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Описание
Пакеты ядра содержат ядро Linux, основу любой операционной системы Linux.

Данное обновление предназначено для исправления следующих уязвимостей:

* Уязвимость существует в реализации протокола SCTP (Stream Control Transmission Protocol) ядра Linux из-за некорректной обработки копий файлов cookie. Если локальный пользователь запросит данные о соединении, в то время как злоумышленник, действующий удаленно, инициализировал SCTP-соединение с системой, может произойти разыменование нулевого указателя, что приведет к аварийному завершению работы системы.
(CVE-2013-2206, Высокий)

* Исправление для CVE-2012-3552 из RHSA-2012:1304 содержит ошибку, связанную с некорректным освобождением памяти в реализации протокола TCP/IP ядра Linux. Эксплуатация данной уязвимости позволяет локальному непривилегированному пользователю повредить память ядра и вызвать отказ в обслуживании либо повысить уровень своих привилегий в системе, используя специально сформированные вызовы sendmsg().
(CVE-2013-2224, Высокий)

* Уязвимость существует в реализации Performance Events в ядре Linux.
Эксплуатация данной уязвимости в системах с некоторыми процессорами Intel позволяет локальному непривилегированному пользователю вызвать отказ в обслуживании, используя подсистему perf для записи в зарезервированные биты в зависящий от модели регистр OFFCORE_RSP_0 и OFFCORE_RSP_1. (CVE-2013-2146, Средний)

*Уязвимость, связанная с разыменованием некорректного указателя, существует в реализации протокола TCP/IP ядра Linux. Эксплуатация данной уязвимости позволяет локальному непривилегированному пользователю вызвать аварийное завершение работы системы или повысить уровень своих привилегий в системе, используя вызов sendmsg() при подключении сокета IPv6 к конечной точке с IPv4-адресом. (CVE-2013-2232, Средний)

* Утечка данных в реализации Bluetooth ядра Linux позволяет локальному привилегированному пользователю перенести память ядра в пространство пользователя.
(CVE-2012-6544, Низкий)

* Утечка данных в ядре Linux позволяет локальному привилегированному пользователю перенести память ядра в пространство пользователя. (CVE-2013-2237, Низкий)

Данное обновление устраняет несколько уязвимостей. Информация об изменениях в ближайшее время будет доступна в документе Technical Notes, ссылка на который дается в разделе Ссылки (References).

Для устранения уязвимостей необходимо обновить систему, используя данные пакеты обновлений, содержащие бэкпортированные исправления. Для того чтобы обновления вступили в силу, необходимо перезагрузить систему.
Как исправить
Используйте рекомендации производителя, доступные по ссылке https://access.redhat.com/knowledge/articles/11258
Ссылки
https://rhn.redhat.com/errata/RHSA-2013-1173.html

Источник: CVE
Наименование: CVE-2013-2146
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2146

Источник: CVE
Наименование: CVE-2012-6544
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6544

Источник: CVE
Наименование: CVE-2013-2232
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2232

Источник: CVE
Наименование: CVE-2013-2224
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2224

Источник: CVE
Наименование: CVE-2013-2237
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2237

Источник: CVE
Наименование: CVE-2013-2206
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2206