Bulletin d'alerte Debian

DSA-270-1 linux-kernel-mips -- Usurpation locale de droits

Date du rapport :
27 mars 2003
Paquets concernés :
kernel-patch-2.4.17-mips, kernel-patch-2.4.19-mips
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 7112.
Dans le dictionnaire CVE du Mitre : CVE-2003-0127.
Plus de précisions :

Le chargeur de modules des noyaux de Linux 2.2 et de Linux 2.4 a un défaut dans ptrace. Ce trou permet à des utilisateurs locaux d'obtenir les privilèges de root en utilisant ptrace attaché à un processus fils qui est lancé par le noyau. Aucune exploitation à distance de ce trou n'est possible.

Cette annonce couvre seulement les paquets de noyau pour les architectures MIPS en petit et grand boutiste. D'autres architectures seront couvertes par des annonces séparées.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.4.17-0.020226.2.woody1 de kernel-patch-2.4.17-mips (mips+mipsel) et dans la version 2.4.19-0.020911.1.woody1 de kernel-patch-2.4.19-mips (mips seulement).

L'ancienne distribution stable (Potato) n'est pas affectée par ce problème pour ces architectures étant donné que mips et mipsel ont été rendues publiques pour la première fois dans Debian GNU/Linux 3.0 (Woody).

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.4.19-0.020911.6 de kernel-patch-2.4.19-mips (mips+mipsel).

Nous vous recommandons de mettre à jour vos paquets kernel-image immédiatement.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody1.dsc
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody1.tar.gz
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-patch-2.4.19-mips_2.4.19-0.020911.1.woody1.dsc
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-patch-2.4.19-mips_2.4.19-0.020911.1.woody1.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody1_all.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-patch-2.4.19-mips_2.4.19-0.020911.1.woody1_all.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-headers-2.4.17_2.4.17-0.020226.2.woody1_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r4k-ip22_2.4.17-0.020226.2.woody1_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r5k-ip22_2.4.17-0.020226.2.woody1_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-headers-2.4.19_2.4.19-0.020911.1.woody1_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-image-2.4.19-r4k-ip22_2.4.19-0.020911.1.woody1_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-image-2.4.19-r5k-ip22_2.4.19-0.020911.1.woody1_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/mips-tools_2.4.19-0.020911.1.woody1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-headers-2.4.17_2.4.17-0.020226.2.woody1_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r3k-kn02_2.4.17-0.020226.2.woody1_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r4k-kn04_2.4.17-0.020226.2.woody1_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/mips-tools_2.4.17-0.020226.2.woody1_mipsel.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.