Man har upptäckt flera lokala och utifrån nåbara sårbarheter i Linuxkärnan vilka kunde användas i en överbelastningsattack eller till exekvering av godtyckligt kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Detta är en uppdatering till DSA 1428-1 som saknade referensen till CVE-2007-5904.
Eric Sandeen tillhandahöll en bakåtanpassning av Tejun Heos rättelse för en lokal överbelastningsattack i sysfs. Vid begränsat med minne kunde en dentry-struktur kanske återanvändas, vilket gav en felaktig pekaravreferering, vilket orsakade en oops i readdir.
Chris Evans upptäckte ett problem med vissa drivrutiner som använder Linuxkärnans ieee80211-lager. En fjärranvändare kunde skapa en skadlig 802.11-ram som kunde användas i en överbelastningsattack (krasch). Man vet att drivrutinen för ipw2100 påverkas av problemet, medan ipw2200 inte verkar göra det.
Scott James Remnant diagnostiserade ett kodningsfel i implementationen av ptrace, vilket kunde användas en lokal användare att få kärnan att gå in i en oändlig slinga.
Przemyslaw Wegrzyn upptäckte ett problem i CIFS-filsystemet, vilket kunde göra det möjligt för en illvillig server att utföra en överbelastningsattack (krasch) genom att spilla en buffert.
Dessa problem har rättats i den stabila utgåvan i version 2.6.18.dfsg.1-13etch5.
Följande tabell beskriver ytterligare paket som byggts om för kompatibilitet med eller dra fördel av denna uppdatering:
| Debian 4.0 (Etch) | |
|---|---|
| fai-kernels | 1.17+etch.13etch5 |
| user-mode-linux | 2.6.18-1um-2etch.13etch5 |
Vi rekommenderar att ni uppgraderar ert kärnpaket omedelbart och startar om maskinen. Om du har byggt en egen kärna från kärnkällkodspaketet måste du bygga om för att dra nytta av dessa rättelser.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.