夏は暑くなりました。 最近、CVE-2014-0196を修正しました。これにより、ローカルルートを取得できるようになりました。同様のローカル脆弱性が近づいているため、CVE-2014-3153です。 また、まだ公開されているエクスプロイトはありませんが、2.6.32から3.14.5までのすべての関連カーネルバージョンが影響を受けます。
gentosに関する注意:CVE-2014-0196とは異なり、強化されたカーネルも影響を受けます。
メーリングリストの元のニュースレターの翻訳は次のとおりです。
Pinkie Pie( 私が理解しているように、ある種の強力なセキュリティ研究者がMy Little Ponyのキャラクターのニックネームの下に隠れています -翻訳者のメモ )がfutexサブシステムに問題を発見しました。 特権のないユーザーは、この脆弱性を使用してカーネルをクラッシュ(サービス拒否(DoS)につながる)または特権の昇格を行う可能性があります。
脆弱性を
修正する
元のパッチ 。
すべての安定したカーネルブランチの更新が利用可能です。
彼らが言うように、例えば、Chromium、Tor、OpenSSHを使用するLinuxのあらゆる種類の「サンドボックス」でfutexサブシステムが利用できるという点で、脆弱性は特に「良い」です。
悪用が現れるのを待たずに、同僚をリフレッシュしてください。
gentooのバグ 。 修正されたバージョン:sys-kernel / gentoo-sources- {3.10.41,3.12.21} -r1、hardened-sources-3.14.5-r2、hardened-sources-3.2.59-r5
Debianでwheezyが修正されました 。 修正バージョン:3.2.57-3 + deb7u2。 他のdebianバージョンの修正は、後で利用可能になります。
Ubuntuで修正されました 。 信頼できるバージョン3.13.0-29.53の場合。
Arch Linuxは
遅いです。