Debianin tietoturvatiedote

DSA-311-1 linux-kernel-2.4.18 -- useita haavoittuvuuksia

Ilmoitettu:
8. 6.2003
Vaikutuksen alaiset paketit:
kernel
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Mitren CVE-sanakirjassa: CVE-2002-0429, CVE-2003-0001, CVE-2003-0127, CVE-2003-0244, CVE-2003-0246, CVE-2003-0247, CVE-2003-0248, CVE-2003-0364.
Lisätietoa:

Linux-ytimessä on havaittu useita haavoittuvuuksia.

CVE-2002-0429: x86-järjestelmien Linux-ydinten (2.4.18 ja aiemmat) arch/i386/kernel/traps.c-koodin iBCS-rutiinit mahdollistavat paikallisten käyttäjien tappaa mielivaltaisia prosesseja binääriyhteensopivan rajapinnan kautta (lcall).

CAN-2003-0001: Useiden ethernetverkkokorttien (NIC) laiteajurit eivät täytä nollatavuisia kehyksiä, mitä kautta etähyökkääjien on mahdollista hankkia tietoa edellisistä paketeista tai ytimen muistista käyttämällä väärin muotoiltuja paketteja.

CAN-2003-0127: Ytimen moduulinlataaja mahdollistaa paikallisten käyttäjien hankkia root-oikeudet käyttämällä ptracea liittyäkseen ytimen käynnistämään lapsiprosessiin.

CAN-2003-0244: Linux 2.4:n route cache -toteutus, ja Netfilter IP conntrack -moduuli, mahdollistavat etähyökkääjien aiheuttaa palveluneston (CPU-kuormitus) väärennetyillä lähdeosoitteilla varustetuilla paketeilla, jotka aiheuttavat lukuisia PREROUTING-ketjuun liittyviä hash-taulukoiden törmäyksiä.

CAN-2003-0246: Linux-ytimen (2.4.20 ja aiemmat) ioperm-järjestelmäkutsu ei rajoita kunnollisesti käyttäjäoikeuksia, mitä kautta paikalliset käyttäjät voivat hankkia luku- tai kirjoitusoikeudet tiettyihin I/O-portteihin.

CAN-2003-0247: Haavoittuvuus Linux-ytimen 2.4 TTY-kerroksessa mahdollistaa hyökkääjien aiheuttaa palveluneston ("kernel oops").

CAN-2003-0248: Linux-ytimen 2.4 mxcsr-koodi sallii hyökkääjien muokata CPU:n tilarekistereitä väärin muotoillun osoitteen kautta.

CAN-2003-0364: Linuxin 2.4-ytimen TCP/IP-pirstaleiden uudelleenkokoamisen käsittely mahdollistaa etähyökkääjien aiheuttaa palveluneston (CPU-kuormitus) tietyntyyppisillä paketeilla, jotka aiheuttavat lukuisia hash-taulukoiden törmäyksiä.

Tämä tiedote kattaa ainoastaan i386 (Intel IA32) -arkkitehtuurit. Muut arkkitehtuurit käsitellään erillisissä tiedotteissa.

Nämä ongelmat on korjattu i386-arkkitehtuurin vakaan jakelun (woody) kernel-source-2.4.18-paketin versiossa 2.4.18-9, kernel-image-2.4.18-1-i386-paketin versiossa 2.4.18-8 ja kernel-image-2.4.18-i386bf-paketin versiossa 2.4.18-5woody1 .

Nämä ongelmat on korjattu epävakaan jakelun (sid) 2.4.20-sarjan ytimissä, jotka pohjautuvat Debian-lähdekoodiin.

Suosittelemme päivittämään kernel-paketit.

Jos käytössä on asennusjärjestelmän asentama ydin valitsemalla "bf24"-vaihtoehto (2.4.x-ytimelle), tulee asentaa kernel-image-2.4.18-bf2.4-paketti. Jos asennuksen jälkeen on asennettu joku muu kernel-image-paketti, tulee asentaa vastaava 2.4.18-1-ydin. Alla olevaa taulukkoa voi käyttää ohjeena.

| Jos "uname -r" näyttää: | Asenna tämä paketti:
| 2.4.18-bf2.4            | kernel-image-2.4.18-bf2.4
| 2.4.18-386              | kernel-image-2.4.18-1-386
| 2.4.18-586tsc           | kernel-image-2.4.18-1-586tsc
| 2.4.18-686              | kernel-image-2.4.18-1-686
| 2.4.18-686-smp          | kernel-image-2.4.18-1-686-smp
| 2.4.18-k6               | kernel-image-2.4.18-1-k6
| 2.4.18-k7               | kernel-image-2.4.18-1-k7

HUOMAA: Tämä ydin ei ole binääriyhteensopiva aikaisemman version kanssa. Tästä syystä ytimellä on eri versionumero, ja sitä ei asenneta automaattisesti osana normaalia päivitysprosessia. Kaikki mukautetut moduulit pitää kääntää uudelleen jotta ne toimivat uuden ytimen kanssa. Kaikille yllä mainituille ytimille toimitetaan uudet PCMCIA-moduulit.

HUOMAA: Järjestelmän uudelleenkäynnistys vaaditaan välittömästi päivityksen jälkeen, jotta käytössä olevan ydin korvautuu uudella. Muista lukea huolellisesti ja noudattaa ytimen päivitysprosessin yhteydessä annettavat ohjeet.

Korjattu:

Debian GNU/Linux 3.0 (woody)

Lähde:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-i386_2.4.18-8.dsc
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-i386_2.4.18-8.tar.gz
Intel IA-32:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-386_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-586tsc_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-686_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-686-smp_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-k6_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-k7_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-386_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-586tsc_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-686_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-686-smp_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-k6_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-k7_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-386_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-586tsc_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-686_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-686-smp_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-k6_2.4.18-8_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-k7_2.4.18-8_i386.deb
Lähde:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-image-2.4.18-i386bf_2.4.18-5woody1.dsc
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-image-2.4.18-i386bf_2.4.18-5woody1.tar.gz
Intel IA-32:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-headers-2.4.18-bf2.4_2.4.18-5woody1_i386.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-image-2.4.18-bf2.4_2.4.18-5woody1_i386.deb
Lähde:
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-9.dsc
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-9.diff.gz
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-doc-2.4.18_2.4.18-9_all.deb
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-9_all.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/p/pcmcia-cs/pcmcia-modules-2.4.18-bf2.4_3.1.33-6woody1k5woody1_i386.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.