Debians sikkerhedsbulletin

DSA-491-1 linux-kernel-2.4.19-mips -- flere sårbarheder

Rapporteret den:
17. apr 2004
Berørte pakker:
kernel-source-2.4.19 kernel-patch-2.4.19-mips
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 10141, BugTraq-id 10152, BugTraq-id 9570, BugTraq-id 9691, BugTraq-id 9985, BugTraq-id 10152.
I Mitres CVE-ordbog: CVE-2004-0003, CVE-2004-0010, CVE-2004-0109, CVE-2004-0177, CVE-2004-0178.
Yderligere oplysninger:

Flere alvorlige problemer er opdaget i Linux-kernen. Denne opdatering dækker 2.4.19 til MIPS-arkitekturen. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer som vil blive rettet i forbindelse med denne opdatering:

  • CAN-2004-0003

    En sårbarhed er opdaget i R128 DRI-driver i Linux-kernen, hvilket potentielt kunne føre til at en angriber kunne opnå uautoriserede rettigheder. Alan Cox og Thomas Biege har udviklet en rettelse til dette problem.

  • CAN-2004-0010

    Arjan van de Ven har opdaget et stak-baseret bufferoverløb i funktionen ncp_lookup til ncpfs i Linux-kernen, hvilket kunne føre til at en angriber kunne opnå uautoriserede rettigheder. Petr Vandrovec har udviklet en rettelse til dette problem.

  • CAN-2004-0109

    zen-parse har opdaget en bufferoverløbssårbarhed i ISO9660-filsystemkomponenten i Linux-kernen, hvilket kunne misbruges af en angriber til at opnå uautoriseret root-adgang. Sebastian Krahmer og Ernie Petrides har udviklet en rettelse til dette problem.

  • CAN-2004-0177

    Solar Designer har opdaget en informationslækage i ext3-koden i Linux. I værste fald kunne en angriber læse følsomme oplysninger såsom krypografiske nøgler, der ellers aldrig ville komme i berører med disk-baserede medier. Theodore Ts'o har udviklet en rettelse til dette problem.

  • CAN-2004-0178

    Andreas Kies har opdaget et lammelsesangreb-risiko i Sound Blaster-driveren i Linux. Han udviklede også en rettelse.

Disse problemer vil også blive rettet af opstrøm i Linux 2.4.26 og vil være rettet i 2.6.6.

Følgende sikkerhedsmatrix forklarer hvilke kerneversioner til hvilke arkitekturer, som allerede er rettet og hvilke der i stedet vil blive fjernet.

Arkitektur stabil (woody) ustabil (sid) fjernet i sid
kildekode 2.4.19-4.woody2 2.4.25-3 2.4.19-11
mips 2.4.19-0.020911.1.woody4 2.4.25-0.040415.1 2.4.19-0.020911.8

Vi anbefaler at du omgående opgraderer dine kernel-pakker, enten med en kerne leveret af Debian eller med en hjemmeoversat kerne.

Sårbarhedsmatrix for CAN-2004-0109.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.19/kernel-source-2.4.19_2.4.19-4.woody2.dsc
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.19/kernel-source-2.4.19_2.4.19-4.woody2.diff.gz
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.19/kernel-source-2.4.19_2.4.19.orig.tar.gz
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-patch-2.4.19-mips_2.4.19-0.020911.1.woody4.dsc
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-patch-2.4.19-mips_2.4.19-0.020911.1.woody4.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.19/kernel-doc-2.4.19_2.4.19-4.woody2_all.deb
http://security.debian.org/pool/updates/main/k/kernel-source-2.4.19/kernel-source-2.4.19_2.4.19-4.woody2_all.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-patch-2.4.19-mips_2.4.19-0.020911.1.woody4_all.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-headers-2.4.19_2.4.19-0.020911.1.woody4_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-image-2.4.19-r4k-ip22_2.4.19-0.020911.1.woody4_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/kernel-image-2.4.19-r5k-ip22_2.4.19-0.020911.1.woody4_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.19-mips/mips-tools_2.4.19-0.020911.1.woody4_mips.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.