• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности openSUSE-SU-2014:0678-1: обновление ядра

Главная Специалистам База уязвимостей Уведомление безопасности openSUSE-SU-2014:0678-1: обновление ядра

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
cloop (any) cloop-debuginfo (any) cloop-debugsource (any) cloop-kmp-default (any) cloop-kmp-default-debuginfo (any) cloop-kmp-desktop (any) cloop-kmp-desktop-debuginfo (any) cloop-kmp-pae (any) cloop-kmp-pae-debuginfo (any) cloop-kmp-xen (any) cloop-kmp-xen-debuginfo (any) crash (any) crash-debuginfo (any) crash-debugsource (any) crash-devel (any) crash-doc (any) crash-eppic (any) crash-eppic-debuginfo (any) crash-gcore (any) crash-gcore-debuginfo (any) crash-kmp-default (any) crash-kmp-default-debuginfo (any) crash-kmp-desktop (any) crash-kmp-desktop-debuginfo (any) crash-kmp-pae (any) crash-kmp-pae-debuginfo (any) crash-kmp-xen (any) crash-kmp-xen-debuginfo (any) hdjmod-debugsource (any) hdjmod-kmp-default (any) hdjmod-kmp-default-debuginfo (any) hdjmod-kmp-desktop (any) hdjmod-kmp-desktop-debuginfo (any) hdjmod-kmp-pae (any) hdjmod-kmp-pae-debuginfo (any) hdjmod-kmp-xen (any) hdjmod-kmp-xen-debuginfo (any) ipset (any) ipset-debuginfo (any) ipset-debugsource (any) ipset-devel (any) ipset-kmp-default (any) ipset-kmp-default-debuginfo (any) ipset-kmp-desktop (any) ipset-kmp-desktop-debuginfo (any) ipset-kmp-pae (any) ipset-kmp-pae-debuginfo (any) ipset-kmp-xen (any) ipset-kmp-xen-debuginfo (any) iscsitarget (any) iscsitarget-debuginfo (any) iscsitarget-debugsource (any) iscsitarget-kmp-default (any) iscsitarget-kmp-default-debuginfo (any) iscsitarget-kmp-desktop (any) iscsitarget-kmp-desktop-debuginfo (any) iscsitarget-kmp-pae (any) iscsitarget-kmp-pae-debuginfo (any) iscsitarget-kmp-xen (any) iscsitarget-kmp-xen-debuginfo (any) kernel-debug (any) kernel-debug-base (any) kernel-debug-base-debuginfo (any) kernel-debug-debuginfo (any) kernel-debug-debugsource (any) kernel-debug-devel (any) kernel-debug-devel-debuginfo (any) kernel-default (any) kernel-default-base (any) kernel-default-base-debuginfo (any) kernel-default-debuginfo (any) kernel-default-debugsource (any) kernel-default-devel (any) kernel-default-devel-debuginfo (any) kernel-desktop (any) kernel-desktop-base (any) kernel-desktop-base-debuginfo (any) kernel-desktop-debuginfo (any) kernel-desktop-debugsource (any) kernel-desktop-devel (any) kernel-desktop-devel-debuginfo (any) kernel-devel (any) kernel-docs (any) kernel-ec2 (any) kernel-ec2-base (any) kernel-ec2-base-debuginfo (any) kernel-ec2-debuginfo (any) kernel-ec2-debugsource (any) kernel-ec2-devel (any) kernel-ec2-devel-debuginfo (any) kernel-pae (any) kernel-pae-base (any) kernel-pae-base-debuginfo (any) kernel-pae-debuginfo (any) kernel-pae-debugsource (any) kernel-pae-devel (any) kernel-pae-devel-debuginfo (any) kernel-source (any) kernel-source-vanilla (any) kernel-syms (any) kernel-trace (any) kernel-trace-base (any) kernel-trace-base-debuginfo (any) kernel-trace-debuginfo (any) kernel-trace-debugsource (any) kernel-trace-devel (any) kernel-trace-devel-debuginfo (any) kernel-vanilla (any) kernel-vanilla-debuginfo (any) kernel-vanilla-debugsource (any) kernel-vanilla-devel (any) kernel-vanilla-devel-debuginfo (any) kernel-xen (any) kernel-xen-base (any) kernel-xen-base-debuginfo (any) kernel-xen-debuginfo (any) kernel-xen-debugsource (any) kernel-xen-devel (any) kernel-xen-devel-debuginfo (any) libipset3 (any) libipset3-debuginfo (any) ndiswrapper (any) ndiswrapper-debuginfo (any) ndiswrapper-debugsource (any) ndiswrapper-kmp-default (any) ndiswrapper-kmp-default-debuginfo (any) ndiswrapper-kmp-desktop (any) ndiswrapper-kmp-desktop-debuginfo (any) ndiswrapper-kmp-pae (any) ndiswrapper-kmp-pae-debuginfo (any) openvswitch (any) openvswitch-controller (any) openvswitch-controller-debuginfo (any) openvswitch-debuginfo (any) openvswitch-debugsource (any) openvswitch-kmp-default (any) openvswitch-kmp-default-debuginfo (any) openvswitch-kmp-desktop (any) openvswitch-kmp-desktop-debuginfo (any) openvswitch-kmp-pae (any) openvswitch-kmp-pae-debuginfo (any) openvswitch-kmp-xen (any) openvswitch-kmp-xen-debuginfo (any) openvswitch-pki (any) openvswitch-switch (any) openvswitch-switch-debuginfo (any) openvswitch-test (any) pcfclock (any) pcfclock-debuginfo (any) pcfclock-debugsource (any) pcfclock-kmp-default (any) pcfclock-kmp-default-debuginfo (any) pcfclock-kmp-desktop (any) pcfclock-kmp-desktop-debuginfo (any) pcfclock-kmp-pae (any) pcfclock-kmp-pae-debuginfo (any) python-openvswitch (any) python-openvswitch-test (any) python-virtualbox (any) python-virtualbox-debuginfo (any) virtualbox (any) virtualbox-debuginfo (any) virtualbox-debugsource (any) virtualbox-devel (any) virtualbox-guest-kmp-default (any) virtualbox-guest-kmp-default-debuginfo (any) virtualbox-guest-kmp-desktop (any) virtualbox-guest-kmp-desktop-debuginfo (any) virtualbox-guest-kmp-pae (any) virtualbox-guest-kmp-pae-debuginfo (any) virtualbox-guest-tools (any) virtualbox-guest-tools-debuginfo (any) virtualbox-guest-x11 (any) virtualbox-guest-x11-debuginfo (any) virtualbox-host-kmp-default (any) virtualbox-host-kmp-default-debuginfo (any) virtualbox-host-kmp-desktop (any) virtualbox-host-kmp-desktop-debuginfo (any) virtualbox-host-kmp-pae (any) virtualbox-host-kmp-pae-debuginfo (any) virtualbox-qt (any) virtualbox-qt-debuginfo (any) virtualbox-websrv (any) virtualbox-websrv-debuginfo (any) xen (any) xen-debugsource (any) xen-devel (any) xen-doc-html (any) xen-kmp-default (any) xen-kmp-default-debuginfo (any) xen-kmp-desktop (any) xen-kmp-desktop-debuginfo (any) xen-kmp-pae (any) xen-kmp-pae-debuginfo (any) xen-libs (any) xen-libs-32bit (any) xen-libs-debuginfo (any) xen-libs-debuginfo-32bit (any) xen-tools (any) xen-tools-debuginfo (any) xen-tools-domU (any) xen-tools-domU-debuginfo (any) xen-xend-tools (any) xen-xend-tools-debuginfo (any) xtables-addons (any) xtables-addons-debuginfo (any) xtables-addons-debugsource (any) xtables-addons-kmp-default (any) xtables-addons-kmp-default-debuginfo (any) xtables-addons-kmp-desktop (any) xtables-addons-kmp-desktop-debuginfo (any) xtables-addons-kmp-pae (any) xtables-addons-kmp-pae-debuginfo (any) xtables-addons-kmp-xen (any) xtables-addons-kmp-xen-debuginfo (any)
Описание
Обновление ядра Linux, устраняющее различные уязвимости и ошибки.

   Ядро Linux было обновлено, чтобы устранить уязвимости и исправить ошибки.

   Основные уязвимости, которые были устранены:

   Уязвимость на уровне tty, позволяющая локальным злоумышленникам выполнить код (CVE-2014-0196).

   Две уязвимости в драйвере дисковода (floppy), позволяющие локальным злоумышленникам на компьютерах с дисководом вызвать аварийное завершение работы ядра или выполнить код в ядре (CVE-2014-1737, CVE-2014-1738).

   Другие устраненные уязвимости и ошибки:
   - netfilter: nf_nat: исправление доступа к неинициализированному буферу во вспомогательном модуле IRC NAT (bnc#860835 CVE-2014-1690).

   - net: sctp: исправление sctp_sf_do_5_1D_ce в части проверки AUTH для we/peer (bnc#866102, CVE-2014-0101).

   - [media] ivtv: исправление Oops при отсутствии загруженной прошивки (bnc#875440).

   - ALSA: hda - добавление настроек контактов док-станции для Thinkpad T440 (bnc#876699).

   - ip6tnl: исправление двойного освобождения fb_tnl_dev при завершении работы (bnc#876531).

   - Обновление файлов конфигурации arm: включить использование всех драйверов USB-to-serial, особенно, USB_SERIAL_WISHBONE и USB_SERIAL_QT2 на всех типах arm.

   - mei: ограничение количества последовательных сбросов (bnc#821619, bnc#852656).
   - mei: исправление сброса состояний mei (bnc#821619, bnc#852656).
   - mei: использование состояния простоя hbm для предотвращения ложных сбросов (bnc#821619).
   - mei: не запускайте сброс из потока прерывания (bnc#821619, bnc#852656).
   - mei: не зацикливайтесь на выборе при сбросе (bnc#821619).
   - mei: при сбросе активируйте записывающие процессы (writers) (bnc#821619).
   - mei: удаление flash_work_queue (bnc#821619, bnc#852656).
   - mei: me: не загружать драйвер, если FW не поддерживает интерфейс MEI (bnc#821619).

   - Обновление файлов конфигурации ec2: Отключение CONFIG_CAN. Поддержка CAN отключена во всех остальных местах, поэтому отключите ее также в ec2.

   - Обновление исправлений Xen (bnc#851244).

   - Обновление файла конфигурации arm/exynos: отключите AHCI_IMX. Данный драйвер используется только в системах Freescale i.MX, поэтому в Exynos он не требуется.

   - drm: использование режима cmdline без чередования, если другое не указанно (bnc#853350).

   - kabi/severities: добавление исключения для irda. Изменения, приводящие к 4-кратному повышению производительности. Внешние пользователи данного API также захотят пересобрать свои модули.

   - i7core_edac: исправление счетчика ссылок PCI-устройства.

   - KABI: восстановление tcp: автоматическая установка размера TSO-пакетов.
   - KABI: восстановление tcp: возможность использования TSQ динамического ограничения.

   - kabi: добавление исключений для kvm и l2tp

   - patches.fixes/sunrpc-add-an-info-file-for-the-dummy-gssd-pipe.patch:
   Переместите включение (include) utsname.h туда, где оно поможет избежать отказа двоичного интерфейса приложений ядра (kABI) из-за определения utsname.

   - Обновление файлов kabi. Ссылки kABI не создавались для версии.

   - Обновление patches.rpmify/chipidea-clean-up-dependencies. Замена OF_DEVICE на OF (OF_DEVICE больше не существует).

   - inet: исправление назначения addr_len/msg->msg_namelen в функциях recv_error и rxpmtu (bnc#857643, CVE-2013-7263, CVE-2013-7264, CVE-2013-7265).
   - inet: предотвращение утечки неинициализированной памяти к пользователю в системных вызовах recv (bnc#857643, CVE-2013-7263, CVE-2013-7264, CVE-2013-7265, CVE-2013-7281).

   - Обновление файлов конфигурации: включите поддержку шифрования twofish. Поддержка шифрования twofish была отключена для некоторых архитектур, начиная с openSUSE 10.3. Для i386 и x86_64 это было сделано намеренно, поскольку существуют альтернативы с аппаратным ускорением. Для всех остальных архитектур это произошло случайно. Включите поддержку шифрования twofish в конфигурационных файлах arm, ia64 и ppc, чтобы всегда обеспечивать доступность, как минимум, одной реализации (bnc#871325).

   - kvm: оптимизация проверки THP в kvm_is_mmio_pfn() (bnc#871160).
   - Обновление patches.fixes/mm-close-PageTail-race.patch (bnc#871160).
   - Обновление patches.fixes/mm-hugetlbfs-fix-hugetlbfs-optimization.patch (bnc#871160).

   - mm: устранение гонки PageTail (bnc#81660).
   - mm: hugetlbfs: исправление, связанное с оптимизацией hugetlbfs (bnc#81660).

   - Обновление файлов конфигурации: отключите CONFIG_TOUCHSCREEN_W90X900. Использование драйвера w90p910_ts имеет смысл только для архитектуры W90x900, которая не поддерживается.

   - ath9k: защита проверки tid->sched (bnc#871148, CVE-2014-2672).

   - Обновление файлов конфигурации ec2: отключите CONFIG_INPUT_FF_MEMLESS. Данный вспомогательный модуль бесполезен для EC2.

   - SELinux:  устранение ошибки в ядре, связанной с пустыми контекстами безопасности (bnc#863335, CVE-2014-1874).

   - hamradio/yam: устранение утечки данных в ioctl (bnc#858872, CVE-2014-1446).

   - netfilter: nf_conntrack_dccp: устранение уязвимости, связанной с использованием skb_header_pointer (bnc#868653, CVE-2014-2523).

   - ath9k_htc: корректная настройка MAC-адреса и маски BSSID (bnc#851426, CVE-2013-4579).

   - drm/ttm: отсутствие oops при отсутствии invalidate_caches() (bnc#869414).

   - Btrfs: отказ от bug_on, если требуется предупреждение об inode кэша свободного пространства (bnc#863235).

   - Обновление файлов конфигурации vanilla: включение поворота консоли. Данная функция включена во всех других ядрах, поэтому следует включить ее и в vanilla.

   - Обновление файлов конфигурации. (CONFIG_EFIVAR_FS=m) Поскольку systemd может автоматически загружать efivarfs.ko, установите CONFIG_EFIVAR_FS значение m для x86_64.

   - libata, freezer: избегайте удаления блочного устройства пока система приостановлена (находится в режиме ожидания) (bnc#849334).

   - Включение CONFIG_IRDA_FAST_RR=y (bnc#860502).

   - [media] bttv: не настраивайте элементы управления, если видеоустройства отсутствуют (bnc#861750).

   - drm/i915/dp: добавление ограничения количества повторных попыток приостановки native aux (bnc#867718).
   - drm/i915/dp: увеличение тайм-аута повторных попыток приостановки native aux (bnc#867718).

   - rpc_pipe: исправление очистки фиктивного каталога gssd при сбое уведомлений (bnc#862746).
   - sunrpc: добавление файла "info" для фиктивного канала gssd (bnc#862746).
   - rpc_pipe: удаление clntXX dir при сбое создания канала (bnc#862746).

   - Удаление rpm/_constraints после некорректного слияния (объединения)

   Сб Мар  8 00:41:07 CET 2014 - jbohac@xxxxxxx

   - Обновление patches.fixes/tcp-syncookies-reduce-cookie-lifetime-to-128-seconds.patch.

   - tcp: syncookies: сокращение времени жизни cookie до 128 секунд (bnc#833968).
   - tcp: syncookies: сокращение таблицы mss до четырех значений (bnc#833968).

   - rpm/mkspec: создание файла _constraints для каждой архитектуры по пакетам

   - rpm/mkspec: удаление неиспользуемого кода

   - Обновление patches.fixes/rtc-cmos-add-an-alarm-disable-quirk.patch.

   - rtc-cmos: добавление функции отключения сигнала (bnc#812592).
   - Обновление patches.xen/xen-x86-EFI.

   - Обновление patches.apparmor/apparmor-compatibility-patch-for-v5-network-control.
   patches.drivers/pstore_disable_efi_backend_by_default.patch.
   patches.fixes/dm-table-switch-to-readonly.
   patches.fixes/kvm-ioapic.patch. patches.fixes/kvm-macos.patch.
   patches.fixes/remount-no-shrink-dcache.
   patches.fixes/scsi-dh-queuedata-accessors.
   patches.suse/0001-vfs-Hooks-for-more-fine-grained-directory-permission.patch. patches.suse/ovl01-vfs-add-i_op-dentry_open.patch.
   patches.suse/sd_init.mark_majors_busy.patch.

   - rpm/mkspec: устранение пропусков в строках NoSource

   - rpm/kernel-binary.spec.in: не обнуляйте modules.dep перед его использованием (bnc#866075)

   - rpm/kernel-obs-build.spec: исключение бесполезного утверждения ExclusiveArch

   - Обновление файлов конфигурации. Настройка CONFIG_EFIVAR_FS на поддержку MOK
   Обновление файлов конфигурации. Настройка CONFIG_EFIVAR_FS на поддержку MOK

   - nfs: необходимо всегда проверять, что страница обновлена, перед изменением текущей страницы (bnc#864867, bnc#865075).

   - x86, cpu, amd: временное решение для семейства 16h (bnc#852967, CVE-2013-6885).
   - Обновление patches.xen/xen3-patch-3.10.

   - cifs: убедитесь, что некэшируемые операции записи обрабатывают неразмеченные области корректно (bnc#864025, CVE-2014-00691).

   - x86, fpu, amd: удаление исключений в AMD FXSAVE (bnc#858638, CVE-2014-1438).

   - rpm/kernel-obs-build.spec: не монтируйте /sys, это делает сценарий сборки

   - Обновление файлов конфигурации: Отключите драйверы, относящиеся к TS5500. Эти драйверы бесполезны без поддержки платы TS5500: mtd-ts5500, gpio-ts5500 и max197.

   - balloon: аварийное завершение работы "гостей" HVM-with-PoD.
   - usbback: исправление после c/s 1232:8806dfb939d4 (bnc#842553).
   - hwmon: (coretemp) усечение имени атрибутов сигнализации (alarm).

   - rpm/kernel-obs-build.spec: Исправление для ppc64le

   - Сценарии: .nosrc.rpm должен содержать только spec-файл (bnc #639379)

   - config: обновление arm7hl/exynos
   - Улучшение поддержки exynos:
   * Добавление поддержки USB
   * Добавление поддержки аудио
   * Добавление устройств (акселерометр и т. п.) на плату arndale

   - drm/cirrus: исправление драйвера cirrus drm для fbdev + qemu (bnc#856760).

   - Spec: обнуление modules.dep для получения одинаковых сборок на разных машинах

   - doc/README.SUSE: Обновление для соответствия текущему пакету.

   - Добавление файла README.SUSE в ветвь пакетов

   - lockd: отправка корректной блокировки при предоставлении отложенной блокировки (bnc#859342).

   - mm/page-writeback.c: не считать страницы anon загрязняемой памятью (прекращение восстановления).
   - mm/page-writeback.c: исправление вычитания dirty_balance_reserve из загрязняемой памяти (прекращение восстановления).
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
openSUSE 13.1:
noarch:
kernel-source - 3.11.10-11.1
kernel-devel - 3.11.10-11.1
kernel-source-vanilla - 3.11.10-11.1
kernel-docs - 3.11.10-11.3
Ссылки
http://lists.opensuse.org/opensuse-security-announce/2014-05/msg00010.html
https://bugzilla.novell.com/639379
https://bugzilla.novell.com/812592
https://bugzilla.novell.com/81660
https://bugzilla.novell.com/821619
https://bugzilla.novell.com/833968
https://bugzilla.novell.com/842553
https://bugzilla.novell.com/849334
https://bugzilla.novell.com/851244
https://bugzilla.novell.com/851426
https://bugzilla.novell.com/852656
https://bugzilla.novell.com/852967
https://bugzilla.novell.com/853350
https://bugzilla.novell.com/856760
https://bugzilla.novell.com/857643
https://bugzilla.novell.com/858638
https://bugzilla.novell.com/858872
https://bugzilla.novell.com/859342
https://bugzilla.novell.com/860502
https://bugzilla.novell.com/860835
https://bugzilla.novell.com/861750
https://bugzilla.novell.com/862746
https://bugzilla.novell.com/863235
https://bugzilla.novell.com/863335
https://bugzilla.novell.com/864025
https://bugzilla.novell.com/864867
https://bugzilla.novell.com/865075
https://bugzilla.novell.com/866075
https://bugzilla.novell.com/866102
https://bugzilla.novell.com/867718
https://bugzilla.novell.com/868653
https://bugzilla.novell.com/869414
https://bugzilla.novell.com/871148
https://bugzilla.novell.com/871160
https://bugzilla.novell.com/871252
https://bugzilla.novell.com/871325
https://bugzilla.novell.com/875440
https://bugzilla.novell.com/875690
https://bugzilla.novell.com/875798
https://bugzilla.novell.com/876531
https://bugzilla.novell.com/876699

Источник: CVE
Наименование: CVE-2014-0101
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0101

Источник: CVE
Наименование: CVE-2014-1737
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1737

Источник: CVE
Наименование: CVE-2014-0069
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0069

Источник: CVE
Наименование: CVE-2014-1738
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1738

Источник: CVE
Наименование: CVE-2013-7281
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7281

Источник: CVE
Наименование: CVE-2013-4579
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4579

Источник: CVE
Наименование: CVE-2014-1446
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1446

Источник: CVE
Наименование: CVE-2014-2523
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2523

Источник: CVE
Наименование: CVE-2014-2672
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2672

Источник: CVE
Наименование: CVE-2013-6885
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6885

Источник: CVE
Наименование: CVE-2014-0196
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0196

Источник: CVE
Наименование: CVE-2013-7264
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7264

Источник: CVE
Наименование: CVE-2013-7265
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7265

Источник: CVE
Наименование: CVE-2014-1690
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1690

Источник: CVE
Наименование: CVE-2013-7263
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7263

Источник: CVE
Наименование: CVE-2014-1874
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1874

Источник: CVE
Наименование: CVE-2014-1438
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1438