Aviso de seguridad de Debian

DSA-441-1 linux-kernel-2.4.17-mips+mipsel -- olvido en la comprobación del valor devuelto por la función

Fecha del informe:
18 de feb de 2004
Paquetes afectados:
kernel-patch-2.4.17-mips
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 9686.
En el diccionario CVE de Mitre: CVE-2004-0077.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#981222.
Información adicional:

Paul Starzetz y Wojciech Purczynski, de isec.pl, descubrieron una vulnerabilidad de seguridad crítica en el código de gestión de memoria de Linux dentro de la llamada al sistema mremap(2). Debido a un olvido en la comprobación del valor devuelto en funciones internas, un atacante local podía obtener privilegios de root.

Para la distribución estable (woody), este problema se ha corregido en la versión 2.4.17-0.020226.2.woody5 de las imágenes del núcleo para mips y mipsel.

Otras arquitecturas probablemente se mencionen en avisos diferentes o no se ven afectadas (m68k).

Para la distribución inestable (sid), este problema lo corregirán los próximos paquetes que se suban de la imagen del núcleo 2.4.19 y en la versión 2.4.22-0.030928.3 para 2.4.22 en las arquitecturas mips y mipsel.

Este problema también se ha corregido en las versiones originales de Linux 2.4.25 y 2.6.3.

Le recomendamos que actualice inmediatamente los paquetes del núcleo Linux.

Matriz de vulnerabilidad para CAN-2004-0077.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody5.dsc
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody5.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody5_all.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-headers-2.4.17_2.4.17-0.020226.2.woody5_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r4k-ip22_2.4.17-0.020226.2.woody5_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r5k-ip22_2.4.17-0.020226.2.woody5_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-headers-2.4.17_2.4.17-0.020226.2.woody5_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r3k-kn02_2.4.17-0.020226.2.woody5_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r4k-kn04_2.4.17-0.020226.2.woody5_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/mips-tools_2.4.17-0.020226.2.woody5_mipsel.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.