Bulletin d'alerte Debian
DSA-439-1 linux-kernel-2.4.16-arm -- Plusieurs vulnérabilités
- Date du rapport :
- 18 février 2004
- Paquets concernés :
-
kernel-image-2.4.16-lart
kernel-image-2.4.16-netwinder
kernel-image-2.4.16-riscpc
kernel-patch-2.4.16-arm - Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9686.
Dans le dictionnaire CVE du Mitre : CVE-2003-0961, CVE-2003-0985, CVE-2004-0077.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#981222. - Plus de précisions :
-
Plusieurs exploitations locales du superutilisateur ont été découvertes récemment dans le noyau Linux. Ce bulletin d'alerte met à jour le noyau ARM pour Debian GNU/Linux. Le projet Common Vulnerabilities and Exposures a identifié les problèmes suivants, qui sont corrigés avec cette mise à jour :
- CAN-2003-0961 :
Un dépassement dans l'appel système de brk() (la fonction do_brk()) pour Linux permet à un attaquant local d'obtenir les privilèges du superutilisateur. Cela a été corrigé dans la version amont de Linux 2.4.23.
- CAN-2003-0985 :
Paul Starzetz a découvert un défaut dans la vérification des limites dans mremap() du noyau Linux (présent dans les versions 2.4.x et 2.6.x). Celui-ci pourrait permettre à un attaquant local d'obtenir les privilèges du superutilisateur. La version 2.2 n'est pas touchée par ce bogue. Cela a été corrigé dans la version amont de Linux 2.4.24.
- CAN-2004-0077 :
Paul Starzetz et Wojciech Purczynski de isec.pl ont découvert une faille de sécurité critique dans le code de la gestion de la mémoire de Linux dans l'appel système mremap(2). À cause de l'absence de vérification de la valeur renvoyée par les fonctions internes, un attaquant local peut obtenir les privilèges du superutilisateur. Cela a été corrigé dans les versions amont de Linux 2.4.25 et 2.6.3.
Pour l'actuelle distribution stable (Woody), ces problèmes ont été corrigés dans la version 2.4.16-20040204 des images lart, netwinder et riscpc et dans la version 20040204 de kernel-patch-2.4.16-arm.
Les autres architectures feront probablement l'objet d'un bulletin séparé ou ne sont pas affectées (comme c'est le cas pour m68k).
Pour la distribution instable (Sid), ces problèmes seront bientôt corrigés.
Nous vous recommandons de mettre à jour vos paquets du noyau Linux immédiatement.
Matrice de vulnérabilité pour le CAN-2004-0077
- CAN-2003-0961 :
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204_all.deb
- ARM:
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-headers-2.4.16_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-headers-2.4.16_20040204_arm.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.