JVNDB-2010-002725

Linux kernel の cxgb_extension_ioctl 関数における重要な情報を取得される脆弱性

Linux kernel の drivers/net/cxgb3/cxgb3_main.c 内にある cxgb_extension_ioctl 関数は、特定の構造体メンバを適切に初期化しないため、カーネルメモリから重要な情報を取得される脆弱性が存在します。

Linux

• Linux Kernel 2.6.36 未満

VMware

• VMware ESX 3.0.3
• VMware ESX 3.5
• VMware ESX 4.0
• VMware ESX 4.1

サイバートラスト株式会社

• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 
• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 

ローカルユーザにより、CHELSIO_GET_QSET_NUM ioctl コールを介して、カーネルメモリから重要な情報を取得される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Linux

• Linux Kernel : Linux Kernel Archives
• Linux Kernel : ChangeLog-2.6.36

VMware

• VMware Security Advisories : VMSA-2011-0012

サイバートラスト株式会社

• Asianux Technical Support Network : kernel-2.6.18-194.11.AXS3
• Asianux Technical Support Network : kernel-2.6.18-194.13.AXS3
• MIRACLE LINUX アップデート情報 : 2197

レッドハット

• Red Hat Security Advisory : RHSA-2011:0017
• Red Hat Security Advisory : RHSA-2011:0421

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2010-3296

1. National Vulnerability Database (NVD) : CVE-2010-3296
2. Secunia Advisory : SA41440
3. SecurityFocus : 43221

• [2011年02月03日]
    掲載
  [2011年03月30日]
    影響を受けるシステム：ミラクル・リナックス (2197) の情報を追加
    ベンダ情報：ミラクル・リナックス (2197) を追加
  [2011年04月27日]
    影響を受けるシステム：ミラクル・リナックス (kernel-2.6.18-194.11.AXS3) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2011:0421) の情報を追加
    ベンダ情報：ミラクル・リナックス (kernel-2.6.18-194.11.AXS3) を追加
    ベンダ情報：レッドハット (RHSA-2011:0421) を追加
  [2011年08月23日]
  　ベンダ情報：ミラクル・リナックス (kernel-2.6.18-194.11.AXS3) を更新
    ベンダ情報：ミラクル・リナックス (kernel-2.6.18-194.13.AXS3) を追加
  [2012年12月21日]
    影響を受けるシステム：VMware (VMSA-2011-0012) の情報を追加
    ベンダ情報：VMware (VMSA-2011-0012) を追加