kernel-3.10.0-1127.el7
エラータID: AXSA:2020-097:03
以下項目について対処しました。
[Security Fix]
- drivers/media/dvb-frontends/cx24116.c には、ユーザ空間のパラ
メータをチェックする際に、ユーザ空間 API に従うと DiSEqC コマンドの
最大サイズは 6 でしたが、コードにより 23 のような大きな値を指定可能なため、
バッファオーバーフローを発生させることにより、情報の取得、情報の改ざん、
およびサービス運用妨害 (DoS) 状態にすることを可能とする脆弱性が存在しま
す。 (CVE-2015-9289)
- KEYS サブシステムには、request_key() システムコールには、現在の
タスクの "default request-key keyring" に鍵を追加する際のアクセス
制御チェックが省略されているため、ローカルユーザにより、巧妙に細工された
システムコールを介して、書き込み権限なく検索パーミッションのみを持つ鍵列
に対して鍵を追加可能となる脆弱性が存在します。 (CVE-2017-17807)
- drivers/net/usb/hso.c の hso_get_config_data() には、USB デバイスか
ら (u8 として) if_num を読み込み、それを使用して小さな配列にインデック
スを付けることにより、カーネルアドレス空間で任意の情報の読み取りを可能
とする脆弱性が存在します。 (CVE-2018-19985)
- USB サブシステムの drivers/usb/core/usb.c の
__usb_get_extra_descriptor() には、追加ディスクリプタの読み込み中にサ
イズチェックを誤って行うため、追加ディスクリプタを送信する巧妙に細工さ
れた USB デバイスを使用することで、システムに物理的にアクセスできる非
特権ユーザは、特権昇格、サービス拒否(システムクラッシュ)状態を引き起こ
すことを可能とする脆弱性が存在します。 (CVE-2018-20169)
- tun サブシステムには、dev_get_valid_name() が register_netdevice()の
前に呼び出されないことにより、ローカルユーザが / 文字を含む dev 名で
ioctl (TUNSETIFF) を呼び出すことで、サービス拒否 (NULL ポインタディレ
ファレンスやパニック) 状態を起こすことを可能とする脆弱性が存在します。
これは CVE-2013-4343 に類似した脆弱性です。 (CVE-2018-7191)
- Bluetooth の UART 実装には、Bluetooth ハードウェアへのローカルアクセ
スと書き込み権限を持つ攻撃者により、巧妙に細工された ioctl 関数呼び
出しを介して、サービス拒否 (システムクラッシュ) 状態にすることを可能と
する脆弱性が存在します。 (CVE-2019-10207)
- コネクションレスプロトコル (UDP や ICMP など) には、生成するIP ID 値
を使って攻撃者がデバイスを追跡することが可能なため、そのようなトラフィッ
クが複数の宛先 IP アドレスに送信されることで、カウンタ配列へのインデッ
クスのハッシュ衝突を取得し列挙が可能なため、攻撃者により管理される
WebRTC や gQUIC を用いて UDP トラフィックを IP アドレスに強制的に送信
するように細工された Web ページなどを介して、ハッシュキーの取得が可能
となる脆弱性が存在します。 (CVE-2019-10638)
- コネクションレスプロトコル (UDP や ICMP など) には、生成するIP ID 値
を使って攻撃者がデバイスを追跡することが可能なため、そのようなトラフィッ
クが複数の宛先 IP アドレスに送信されることで、カウンタ配列へのインデッ
クスのハッシュ衝突を取得し列挙が可能なため、攻撃者により管理される
WebRTC や gQUIC を用いて UDP トラフィックを IP アドレスに強制的に送信
するように細工された Web ページなどを介して、秘密情報の公開 (KASLR カー
ネルイメージオフセット、カーネルアドレス) が可能となる脆弱性が存在しま
す。 (CVE-2019-10639)
- fs/binfmt_elf.c の load_elf_binary() には、install_exec_creds() の呼
び出しが遅すぎることにより /proc/pid/stat を読み込む際に
ptrace_may_access() チェックが競合状態になるおそれがあるため、ローカル
ユーザにより、setuid プログラム (/bin/su など) を介して、アドレス空間
配置のランダム化 (ASLR) をバイパスすることが可能となる脆弱性が存在しま
す。 (CVE-2019-11190)
- net/bluetooth/hidp/sock.c の do_hidp_sock_ioctl 関数には、デバイスの
名前フィールドが '\0' 文字で終わらない可能性があるため、ローカルユーザ
により、HIDPCONNADD コマンドを介して、カーネルスタックメモリから潜在的
に機密性の高い情報を取得することを可能とする脆弱性が存在します。
(CVE-2019-11884)
- drivers/gpu/drm/drm_edid_load.c の drm_load_edid_firmware 関数には
fwstr の kstrdup がチェックされないため、攻撃者により、サービス拒否
(NULL ポインタのディファレンス、システムクラッシュ) 状態にすることを可
能とする脆弱性が存在します。 (CVE-2019-12382)
- arch/x86/lib/insn-eval.c には、modify_ldt() と MPX の境界違反に対す
る #BR 例外の間に競合状態があるため、LDT エントリへのアクセスする際に、
use-after-free に至る可能性がある脆弱性が存在します。 (CVE-2019-13233)
- drivers/block/floppy.c の set_geometry() には、sect と head フィール
ドを検証しないため、権限のないローカルユーザにより、フロッピーディスク
の挿入を介して、整数バッファオーバーフローおよび境界外読み込みを可能と
する脆弱性が存在します。注意: QEMU はデフォルトでフロッピーデバイスを
作成します。 (CVE-2019-14283)
- net/core/net-sysfs.c の register_queue_kobjects() には、メモリリークが
あり、サービス拒否状態に至る可能性がある脆弱性が存在します。
(CVE-2019-15916)
- net/wireless/nl80211.c には、ビーコンヘッド内の可変要素の長さをチェッ
クしないため、バッファオーバーフローに至る可能性がある脆弱性が存在しま
す。 (CVE-2019-16746)
- perf_event_open() には、ptrace_may_access() 中に関連するロック
(cred_guard_mutex など) が保持されていないことで、指定されたターゲット
タスクが perf_event_alloc() が実際にそれにアタッチする前に setuid の実
行を伴う execve() システムコールを実行することが可能な競合状態があるた
め、ローカルの攻撃者により、特権的な execve()の呼び出し中に
install_exec_creds() で実行される ptrace_may_access() のチェックと
perf_event_exit_task() の呼び出しを迂回することを介して、機密データを
漏洩させることを可能とする脆弱性が存在します。 (CVE-2019-3901)
- Broadcom 社製品向けの brcmfmac WiFi ドライバには、brcmfmac ドライバ
がリモートからファームウェアイベントフレームを受信した場合、
is_wlc_event_frame 関数により、このフレームを破棄し処理しませんが、ド
ライバがホストからファームウェアイベントフレームを受信した場合は、適切
なハンドラが呼び出され、使用されるバスが USB である場合 (WiFi ドングル
など)、このフレームの検証はバイパスされ、リモートからのファームウェア
イベントフレームを処理してしまうため、リモートの認証されていない攻撃者
により、巧妙に細工された WiFi パケットの送信を介して、サービス拒否状態、
および任意のコード実行を可能とする脆弱性が存在します。 (CVE-2019-9503)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
In the Linux kernel before 4.1.4, a buffer overflow occurs when checking userspace params in drivers/media/dvb-frontends/cx24116.c. The maximum size for a DiSEqC command is 6, according to the userspace API. However, the code allows larger values such as 23.
The KEYS subsystem in the Linux kernel before 4.14.6 omitted an access-control check when adding a key to the current task's "default request-key keyring" via the request_key() system call, allowing a local user to use a sequence of crafted system calls to add keys to a keyring with only Search permission (not Write permission) to that keyring, related to construct_get_dest_keyring() in security/keys/request_key.c.
The function hso_get_config_data in drivers/net/usb/hso.c in the Linux kernel through 4.19.8 reads if_num from the USB device (as a u8) and uses it to index a small array, resulting in an object out-of-bounds (OOB) read that potentially allows arbitrary read in the kernel address space.
An issue was discovered in the Linux kernel before 4.19.9. The USB subsystem mishandles size checks during the reading of an extra descriptor, related to __usb_get_extra_descriptor in drivers/usb/core/usb.c.
In the tun subsystem in the Linux kernel before 4.13.14, dev_get_valid_name is not called before register_netdevice. This allows local users to cause a denial of service (NULL pointer dereference and panic) via an ioctl(TUNSETIFF) call with a dev name containing a / character. This is similar to CVE-2013-4343.
A flaw was found in the Linux kernel's Bluetooth implementation of UART, all versions kernel 3.x.x before 4.18.0 and kernel 5.x.x. An attacker with local access and write permissions to the Bluetooth hardware could use this flaw to issue a specially crafted ioctl function call and cause the system to crash.
In the Linux kernel before 5.1.7, a device can be tracked by an attacker using the IP ID values the kernel produces for connection-less protocols (e.g., UDP and ICMP). When such traffic is sent to multiple destination IP addresses, it is possible to obtain hash collisions (of indices to the counter array) and thereby obtain the hashing key (via enumeration). An attack may be conducted by hosting a crafted web page that uses WebRTC or gQUIC to force UDP traffic to attacker-controlled IP addresses.
The Linux kernel 4.x (starting from 4.1) and 5.x before 5.0.8 allows Information Exposure (partial kernel address disclosure), leading to a KASLR bypass. Specifically, it is possible to extract the KASLR kernel image offset using the IP ID values the kernel produces for connection-less protocols (e.g., UDP and ICMP). When such traffic is sent to multiple destination IP addresses, it is possible to obtain hash collisions (of indices to the counter array) and thereby obtain the hashing key (via enumeration). This key contains enough bits from a kernel address (of a static variable) so when the key is extracted (via enumeration), the offset of the kernel image is exposed. This attack can be carried out remotely, by the attacker forcing the target device to send UDP or ICMP (or certain other) traffic to attacker-controlled IP addresses. Forcing a server to send UDP traffic is trivial if the server is a DNS server. ICMP traffic is trivial if the server answers ICMP Echo requests (ping). For client targets, if the target visits the attacker's web page, then WebRTC or gQUIC can be used to force UDP traffic to attacker-controlled IP addresses. NOTE: this attack against KASLR became viable in 4.1 because IP ID generation was changed to have a dependency on an address associated with a network namespace.
The Linux kernel before 4.8 allows local users to bypass ASLR on setuid programs (such as /bin/su) because install_exec_creds() is called too late in load_elf_binary() in fs/binfmt_elf.c, and thus the ptrace_may_access() check has a race condition when reading /proc/pid/stat.
The do_hidp_sock_ioctl function in net/bluetooth/hidp/sock.c in the Linux kernel before 5.0.15 allows a local user to obtain potentially sensitive information from kernel stack memory via a HIDPCONNADD command, because a name field may not end with a '\0' character.
** DISPUTED ** An issue was discovered in drm_load_edid_firmware in drivers/gpu/drm/drm_edid_load.c in the Linux kernel through 5.1.5. There is an unchecked kstrdup of fwstr, which might allow an attacker to cause a denial of service (NULL pointer dereference and system crash). NOTE: The vendor disputes this issues as not being a vulnerability because kstrdup() returning NULL is handled sufficiently and there is no chance for a NULL pointer dereference.
In arch/x86/lib/insn-eval.c in the Linux kernel before 5.1.9, there is a use-after-free for access to an LDT entry because of a race condition between modify_ldt() and a #BR exception for an MPX bounds violation.
In the Linux kernel through 5.2.1 on the powerpc platform, when hardware transactional memory is disabled, a local user can cause a denial of service (TM Bad Thing exception and system crash) via a sigreturn() system call that sends a crafted signal frame. This affects arch/powerpc/kernel/signal_32.c and arch/powerpc/kernel/signal_64.c.
In the Linux kernel before 5.2.3, set_geometry in drivers/block/floppy.c does not validate the sect and head fields, as demonstrated by an integer overflow and out-of-bounds read. It can be triggered by an unprivileged local user when a floppy disk has been inserted. NOTE: QEMU creates the floppy device by default.
An issue was discovered in the Linux kernel before 5.0.1. There is a memory leak in register_queue_kobjects() in net/core/net-sysfs.c, which will cause denial of service.
An issue was discovered in net/wireless/nl80211.c in the Linux kernel through 5.2.17. It does not check the length of variable elements in a beacon head, leading to a buffer overflow.
The Linux kernel before 5.4.1 on powerpc allows Information Exposure because the Spectre-RSB mitigation is not in place for all applicable CPUs, aka CID-39e72bf96f58. This is related to arch/powerpc/kernel/entry_64.S and arch/powerpc/kernel/security.c.
A race condition in perf_event_open() allows local attackers to leak sensitive data from setuid programs. As no relevant locks (in particular the cred_guard_mutex) are held during the ptrace_may_access() call, it is possible for the specified target task to perform an execve() syscall with setuid execution before perf_event_alloc() actually attaches to it, allowing an attacker to bypass the ptrace_may_access() check and the perf_event_exit_task(current) call that is performed in install_exec_creds() during privileged execve() calls. This issue affects kernel versions before 4.8.
The Broadcom brcmfmac WiFi driver prior to commit a4176ec356c73a46c07c181c6d04039fafa34a9f is vulnerable to a frame validation bypass. If the brcmfmac driver receives a firmware event frame from a remote source, the is_wlc_event_frame function will cause this frame to be discarded and unprocessed. If the driver receives the firmware event frame from the host, the appropriate handler is called. This frame validation can be bypassed if the bus used is USB (for instance by a wifi dongle). This can allow firmware event frames from a remote source to be processed. In the worst case scenario, by sending specially-crafted WiFi packets, a remote, unauthenticated attacker may be able to execute arbitrary code on a vulnerable system. More typically, this vulnerability will result in denial-of-service conditions.
N/A
SRPMS
- kernel-3.10.0-1127.el7.src.rpm
MD5: 5b57a60427bc13ea007ea2f7e9cf6353
SHA-256: 197b8f4b8a4930782b784e129f6a83e0a782aa14f216be3b7556b7ae56744ea9
Size: 99.30 MB
Asianux Server 7 for x86_64
- bpftool-3.10.0-1127.el7.x86_64.rpm
MD5: 9b6d4883208bf91345a171233e5cbc50
SHA-256: 79f6a2d2d351e37ea107f49bf55362eced0e3e80d52f6d057ff1b7af88a20068
Size: 8.38 MB - kernel-3.10.0-1127.el7.x86_64.rpm
MD5: a2944ea838e6c8984b390234a2b9530f
SHA-256: b1e857ea73f1538c416037be92bdd0471599fe4a20a2f586215407b02c2739c6
Size: 50.18 MB - kernel-abi-whitelists-3.10.0-1127.el7.noarch.rpm
MD5: f2c9631f4e69beb214601e5f477459b4
SHA-256: dc22c16a60d40b2e706fd7864e38f7a8073e0ede15dc3ae8e3df91a318892780
Size: 7.95 MB - kernel-debug-3.10.0-1127.el7.x86_64.rpm
MD5: 22a3bb525f3166133576e04c5e4399a5
SHA-256: da41d0a258a832ae5377926edc6b5013cab5a221a7ac28fb9e81ba6c900d3b85
Size: 52.46 MB - kernel-debug-devel-3.10.0-1127.el7.x86_64.rpm
MD5: f69241c1f8aed8e0dfb7c5a00cfdd811
SHA-256: f7ea0399b5699c3e46467959c686e5b2a4be0d0a8327d225206e4b3a78d7c3e8
Size: 17.91 MB - kernel-devel-3.10.0-1127.el7.x86_64.rpm
MD5: b79d5c5e08d057d63f77aa601397c323
SHA-256: 46b7e0adf50c72e91ebd239d8c1023769c3fe59718927ff1f0d2ad5b063ac6bd
Size: 17.84 MB - kernel-doc-3.10.0-1127.el7.noarch.rpm
MD5: b1f24f41d66b892ee696c335766020b3
SHA-256: 63c0ab1da9c3842dc942527006bfe4948d646a73b6e0c42bb2bf9cfbac9bdbb7
Size: 19.40 MB - kernel-headers-3.10.0-1127.el7.x86_64.rpm
MD5: 03ca5a1755c6f04a5987408402391991
SHA-256: 61e640bc801b12af6e2453ac074698c455fe28cf3ad69e5631e7f0ad15253fa9
Size: 8.94 MB - kernel-tools-3.10.0-1127.el7.x86_64.rpm
MD5: ce7149944de0ce6efae623ee02d2335e
SHA-256: 7f770acde1b46774627621a334065b4dff60d48494c0d6102a688d2dc2b6414f
Size: 8.04 MB - kernel-tools-libs-3.10.0-1127.el7.x86_64.rpm
MD5: 996c569f1b3fdef99a7bcffe5734a0ac
SHA-256: 6cc2d0fa75f6e3a4025be880476a9bc7756206eaec249739aab37656d35979ff
Size: 7.94 MB - perf-3.10.0-1127.el7.x86_64.rpm
MD5: 1041690560d6299af5908c0dd1a8bbe4
SHA-256: 19a33a0da21a01c66442258362196ddd439e974636c53ccc560a7a790ac66fd4
Size: 9.58 MB - python-perf-3.10.0-1127.el7.x86_64.rpm
MD5: 7fa187c932acbb94ae78d88c4440ae8f
SHA-256: a9884a1fbe085b57b4d81a81b1132cca58b38db8ab489a607ce8db4f8ceb1d52
Size: 8.04 MB