JVNDB-2013-003220

Linux Kernel の drivers/cdrom/cdrom.c 内の mmc_ioctl_cdrom_read_data 関数における重要な情報を取得される脆弱性

Linux Kernel の drivers/cdrom/cdrom.c 内の mmc_ioctl_cdrom_read_data 関数には、カーネルメモリから重要な情報を取得される脆弱性が存在します。

Linux

• Linux Kernel 3.10 まで

レッドハット

• Red Hat Enterprise MRG 2.0 
• Red Hat Enterprise Linux (v. 5 server)
• Red Hat Enterprise Linux Desktop (v. 5 client)
• Red Hat Enterprise Linux Desktop (v. 6)
• Red Hat Enterprise Linux EUS (v. 5.9.z server)
• Red Hat Enterprise Linux HPC Node (v. 6)
• Red Hat Enterprise Linux Long Life (v. 5.9 server)
• Red Hat Enterprise Linux Server (v. 6)
• Red Hat Enterprise Linux Workstation (v. 6)

ローカルユーザにより、正常に動作しない CD-ROM ドライブの読み取り操作を介して、カーネルメモリから重要な情報を取得される可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-1912-1
• Ubuntu Security Notice : USN-1913-1
• Ubuntu Security Notice : USN-1941-1
• Ubuntu Security Notice : USN-1942-1

Debian

• Debian Security Advisory : DSA-2766

Linux

• Linux Kernel : Linux Kernel Archives
• Linux kernel source tree : drivers/cdrom/cdrom.c: use kzalloc() for failing hardware

Novell

• opensuse-security-announce : SUSE-SU-2013:1473
• opensuse-security-announce : SUSE-SU-2013:1474

レッドハット

• Red Hat Bugzilla : Bug 973100
• Red Hat Security Advisory : RHSA-2013:1645
• Red Hat Security Advisory : RHSA-2013:1166

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2013-2164

1. National Vulnerability Database (NVD) : CVE-2013-2164
2. 関連文書 : oss-security - Re: CVE Request: Linux Kernel - Leak information in cdrom driver.

• [2013年07月08日]
    掲載
  [2013年10月31日]
    ベンダ情報：Novell (SUSE-SU-2013:1473) を追加
    ベンダ情報：Novell (SUSE-SU-2013:1474) を追加
    ベンダ情報：Ubuntu (USN-1912-1) を追加
    ベンダ情報：Ubuntu (USN-1913-1) を追加
    ベンダ情報：Ubuntu (USN-1941-1) を追加
    ベンダ情報：Ubuntu (USN-1942-1) を追加
  [2013年11月20日]
    ベンダ情報：Debian (DSA-2766) を追加
  [2014年02月20日]
    影響を受けるシステム：レッドハット (RHSA-2013:1645) の情報を追加
    影響を受けるシステム：レッドハット (RHSA-2013:1166) の情報を追加
    ベンダ情報：レッドハット (RHSA-2013:1645) を追加
    ベンダ情報：レッドハット (RHSA-2013:1166) を追加