Marcus Meissner et Sebastian Krahmer ont découvert et corrigé un fichier temporaire vulnérable dans la bibliothèque de mémoire partagée mm. Cette faille peut être utilisée pour obtenir un accès root sur une machine sur laquelle Apache fonctionne ; Apache qui est relié à cette bibliothèque si l'accès shell pour l'utilisateur « www-data » est déjà disponible (ce qui peut aisément être provoqué au travers de PHP).
Ce problème a été corrigé dans la version source 1.2.0 de mm, qui sera mise à jour dans la distribution unstable lorsque ce bulletin sera publié. Les paquets corrigés pour Potato (Debian 2.2) et Woody (Debian 3.0) sont indiqués ci-dessous.
Nous vous recommandons de mettre à jour votre paquet libmm immédiatement et de relancer votre serveur Apache.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.