Säkerhetsbulletin från Debian
DSA-439-1 linux-kernel-2.4.16-arm -- flera sårbarheter
- Rapporterat den:
- 2004-02-18
- Berörda paket:
-
kernel-image-2.4.16-lart
kernel-image-2.4.16-netwinder
kernel-image-2.4.16-riscpc
kernel-patch-2.4.16-arm - Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 9686.
I Mitres CVE-förteckning: CVE-2003-0961, CVE-2003-0985, CVE-2004-0077.
CERTs information om sårbarheter, bulletiner och incidenter: VU#981222. - Ytterligare information:
-
Flera lokala rootsårbarheter har nyligen upptäckts i Linuxkärnan. Denna säkerhetsbulletin uppdaterar ARM-kärnan för Debian GNU/Linux. Projektet Common Vulnerabilities and Exposures (CVE) identifierar följande problem som har rättats i denna uppdatering:
-
CAN-2003-0961:
Ett heltalsspill i systemanropet brk (funktionen do_brk) för Linux gör det möjligt för lokala användare att uppnå rootbehörighet. Rättat av uppströmsutvecklarna i Linux 2.4.23.
-
CAN-2003-0985:
Paul Starzetz upptäckte att det är ett fel i begränsningstesten i mremap() i Linuxkärnan (förekommer i version 2.4.x och 2.6.x), vilket kan göra det möjligt för lokala användare att uppnå rootbehörighet. Version 2.2 påverkas inte av detta fel. Rättat av uppströmsutvecklarna i Linux 2.4.24.
-
CAN-2004-0077:
Paul Starzetz och Wojciech Purczynski från isec.pl upptäckte en kritisk säkerhetsrelaterad sårbarhet i minneshanteringskoden i Linux inuti systemanropet mremap(2). På grund av att ett returvärdet från en intern funktion inte kontrollerades kunde en lokal angripare uppnå rootbehörighet. Rättat av uppströmsutvecklarna i Linux 2.4.25 och 2.6.3.
För den stabila utgåvan (Woody) har dessa problem rättats i version 2.4.16-20040204 av kärnpakten för lart, netwinder och riscpc samt i version 20040204 av kernel-patch-2.4.16-arm.
Andra arkitekturer kommer troligen omnämnas i separata bulletiner, eller påverkas inte (m68k).
För den instabila utgåvan (Sid) kommer dessa problem att rättas inom kort.
Vi rekommenderar att ni uppgraderar era Linuxkärnpaket omedelbart.
Sårbarhetstabell för CAN-2004-0077
-
CAN-2003-0961:
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.16-arm/kernel-patch-2.4.16-arm_20040204_all.deb
- ARM:
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-lart/kernel-image-2.4.16-lart_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-headers-2.4.16_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-image-2.4.16-netwinder_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-riscpc/kernel-image-2.4.16-riscpc_20040204_arm.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.16-netwinder/kernel-headers-2.4.16_20040204_arm.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.