Les noyaux utilisés dans Debian GNU/Linux 2.2 contenaient de
multiples problèmes de sécurité. C'est une liste de problèmes basée
sur les notes de sortie de la version 2.2.19 accessibles sur
http://www.linux.org.uk/:
- binfmt_misc utilisait des pages utilisateur directement ;
- le pilote CPIA avait une erreur off-by-one (erreur d'indice de
tableaux) dans le code tampon qui rendait possible aux utilisateurs
d'écrire dans la mémoire noyau ;
- les pilotes CPUID et MSR avaient un problème dans le code de déchargement
de module qui pouvait causer le plantage d'un système s'il se chargeaient
et se déchargeaient automatiquement. (Veuillez noter que Debian ne décharge
pas automatiquement.) ;
- Il y avait un blocage potentiel dans le code classifier ;
- Les appels système
getsockopt et setsockopt
ne géraient pas les bits de signe correctement rendant possible un déni
local de service et autres attaques ;
- L'appel système
sysctl ne gérait pas les bits de signe
correctement rendant possible à un utilisateur d'écrire dans la mémoire
noyau ;
- Les lancements de
ptrace/exec pouvaient donner à un
utilisateur local des privilèges supplémentaires ;
- Un abus potentiel d'un effet de bord dans le code sockfilter ;
- Le code de mémoire partagée SYSV pouvait écraser de la mémoire récemment
libérée causant des problèmes ;
- Les vérifications de longueur de paquet dans le code de masquerading
étaient un peu lâches (probablement pas exploitable) ;
- Quelques bogues en assembleur x86 ont causé le mauvais nombre d'octet à
être copié ;
- Un utilisateur local pouvait verrouiller le noyau à cause des bogues dans
l'allocation de port UDP.
Tous ces problèmes sont corrigés dans le noyau 2.2.19 et il vous est
hautement recommandé de mettre à jour les machines à ce noyau.
Veuillez noter que les mises à jour de noyau ne sont pas réalisés
automatiquement. On vous demandera explicitement de dire au système de paquets
d'installer le bon noyau pour votre système.
