Man har upptäckt flera lokala och utifrån nåbara sårbarheter i Linuxkärnan, vilka kunde användas i en överbelastningsattack eller till att exekvera godtycklig kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Evan Teran upptäckte en möjlig lokal överbelastningsattack (oops) i hanteringen av PTRACE_SETREGS- och PTRACE_SINGLESTEP-anropen.
Adam Litke rapporterade en möjlig lokal överbelastningsattack (oops) på powerpc-plattformen, vilket kom sig av en okontrollerad VMA-utökning till en adressrymt reserverad för hugetbl-sidor.
Matt Keenan rapporterade att CIFS-systemet med CAP_UNIX aktiverat inte följde processens umask, vilket kunde leda till omedvetet lättade behörigheter.
Wojciech Purczynski upptäckte en sårbarhet som kunde utnyttjas av en lokal användare för att uppnå superanvändarprivilegier på x86_64-system. Detta kom sig av otillräcklig städning av de höga bitarna från register under ia32-systemanropsemulering. Denna sårbarhet är även relevant för Debians amd64-anpassning, samt användare av i386-anpassningen som kör amd64-linuxkärnan.
Michael Stone rapporterade ett problem med JFFS2-filsystemet. Bakåtkompatibilitetslägen för inoder som skapats med POSIX ACL-stöd aktiverat skrevs inte ut på mediet, vilket gav felaktiga behörigheter när enheten ommonterades.
Dessa problem har rättats in the stable distribution i version 2.6.18.dfsg.1-13etch3.
Bulletinen har uppdaterats för att innehålla ett bygge för arm-arkitekturen som inte var tillgänglig när DSA-1378-1 publicerades.
Följande tabell beskriver ytterligare paket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:
| Debian 4.0 (Etch) | |
|---|---|
| fai-kernels | 1.17+etch.13etch3 |
| user-mode-linux | 2.6.18-1um-2etch.13etch3 |
Vi rekommenderar att ni uppgraderar ert kärnpaket omedelbart och startar om maskinen. Om du har byggt en egen kärna från kärnkällkodspaketet måste du bygga om för att dra nytta av rättelserna.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.