Debian-Sicherheitsankündigung

DSA-439-1 linux-kernel-2.4.16-arm -- Mehrere Verwundbarkeiten

Datum des Berichts:

18. Feb 2004

Betroffene Pakete:

kernel-image-2.4.16-lart
kernel-image-2.4.16-netwinder
kernel-image-2.4.16-riscpc
kernel-patch-2.4.16-arm

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9686.
In Mitres CVE-Verzeichnis: CVE-2003-0961, CVE-2003-0985, CVE-2004-0077.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#981222.

Weitere Informationen:

Mehrere lokale root-Ausbeutungen wurden kürzlich im Linux-Kernel entdeckt. Diese Sicherheitsankündigung aktualisiert den ARM-Kernel für Debian GNU/Linux. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme, die mit dieser Aktualisierung behoben sind:

CAN-2003-0961:
Ein Integer-Überlauf im brk()-Systemaufruf (do_brk()-Funktion) für Linux erlaubt es einem lokalen Angreifer, root-Berechtigungen zu erlangen. Wurde Upstream in Linux 2.4.23 behoben.
CAN-2003-0985:
Paul Starzetz entdeckte eine Schwäche in der Bereichsprüfung in mremap() im Linux-Kernel (vorhanden in den Versionen 2.4.x und 2.6.x), die es einem lokalen Angreifer erlauben könnte, root-Berechtigungen zu erlangen. Version 2.2 ist nicht von diesem Fehler betroffen. Wurde Upstream in Linux 2.4.24 behoben.
CAN-2004-0077:
Paul Starzetz und Wojciech Purczynski von isec.pl entdeckten eine kritische Sicherheitsverwundbarkeit im Speicherverwaltungs-Code von Linux innerhalb des mremap(2)-Systemaufrufes. Wegen eines fehlenden Prüfung des Funktions-Rückgabewertes von internen Funktionen könnte ein lokaler Angreifer root-Berechtigungen erlangen. Wurde Upstream in Linux 2.4.25 und 2.6.3 behoben.

Für die stable Distribution (Woody) wurden diese Probleme in Version 2.4.16-20040204 der lart-, netwinder- und riscpc-Images und in Version 20040204 von kernel-patch-2.4.16-arm behoben.

Andere Architekturen werden möglicherweise in getrennten Ankündigungen erwähnt, oder sind nicht betroffen (m68k).

Für die unstable Distribution (Sid) werden diese Probleme bald behoben sein.

Wir empfehlen Ihnen, Ihre Linux-Kernel-Pakete unverzüglich zu aktualisieren.

Verwundbarkeitsmatrix für CAN-2004-0077.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:: http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.dsc; http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.tar.gz; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204.dsc; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204.tar.gz; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204.dsc; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204.tar.gz; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204.dsc; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204_all.deb
ARM:: http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204_arm.deb; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-headers-2.4.16_20040204_arm.deb; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204_arm.deb; http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204_arm.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.