Man har upptäckt flera lokala sårbarheter i Linuxkärnan, vilka kunde användas i en överbelastningsattack eller till exekvering av godtycklig kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
LMH rapporterade ett problem i minixfilsystemet, vilket gjorde det möjligt för lokala användare med monteringprivilegier att utföra en överbelastningsattack (printk-flod) genom att montera ett skräddarsytt trasigt filsystem.
Warren Togami upptäckte ett problem i hrtimer-undersystemet som gjorde det möjligt för en lokal användare att utföra en överbelastningsattack (mjuk låsning) genom att be en timer sova en lång tid, vilket ledde till ett heltalsspill.
Venustech AD-LAB upptäckte ett buffertspill i isdn-ioctl-hanteringen, vilket kunde utnyttjas av en lokal användare.
Blake Frantz upptäckte att om det fanns en core-fil som ägdes av en icke-root-användare och en root-ägd process dumpade minne över den behåller core-filen det ursprungliga ägarskapet. Detta kunde användas av en lokal användare till att få tillgång till känslig information.
Hugh Dickins upptäckte ett problem i tmpfs-filsystemet, där, under ovanliga omständigheter, en kärnsida kunde tömmas felaktigt och läcka känsligt kärnminne till användarrymden, eller utnyttjas till en överbelastningsattack (krasch).
Dessa problem har rättats in den stabila utgåvan i version 2.6.18.dfsg.1-13etch6.
Följande tabell beskriver ytterligare paket som byggts om för kompatibilitet med eller för att dra fördel av denna uppdatering:
| Debian 4.0 (Etch) | |
|---|---|
| fai-kernels | 1.17+etch.13etch6 |
| user-mode-linux | 2.6.18-1um-2etch.13etch6 |
Vi rekommenderar att ni uppgraderar ert kärnpaket omedelbart och startar om maskinen. Om du har byggt en egen kärna från källkodspaketet måste du bygga om för att dra nytta av dessa rättelser.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.