Flere lokale og fjernudnytbare sårbarheder er opdaget i Linux-kernen, hvilket kunne føre til lammelsesangreb (denial of service) eller udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer.
Dette er en opdatering til 1428-1, som manglede en reference til CVE-2007-5904.
Eric Sandeen leverede en backport af Tejun Heos rettelse af en lokal
lammelsesangrebssårbarhed i sysfs. Under hukommelsespres blev en
dentry-struktur måske genanvendt medførende en dårlige pointer-dereference,
forårsagende en ups
under en readdir.
Chris Evans opdagede et problem med visse drivere, som anvender Linux-kernens ieee80211-lag. En fjern bruger kunne generere en ondsindet 802.11-frame, som kunne medføre et lammelsesangreb (crash). Driveren ipw2100 vides at være påvirket at dette problem, mens ipw2200 menes ikke at være det.
Scott James Remnant diagnostificerede en programmeringsfejl i implementeringen af ptrace, hvilket kunne anvendes af lokale brugere til at få kernen til at gå ind i en uendelig løkke.
Przemyslaw Wegrzyn opdagede et problem i CIFS-filsystemet, hvilket gjorde det muligt for en ondsindet server, at forårsage et lammelsesangreb (crash) ved at få en buffer til at løbe over.
I den stabile distribution (etch) er disse problemer er rettet i version 2.6.18.dfsg.1-13etch5.
Følgende matriks viser yderligere pakker, der af kompatibilitetshensyn med denne opdatering, eller for at kunne benytte sig af den, er blevet genopbygget:
| Debian 4.0 (etch) | |
|---|---|
| fai-kerner | 1.17+etch.13etch5 |
| user-mode-linux | 2.6.18-1um-2etch.13etch5 |
Vi anbefaler at du omgående opgraderer din kernel-pakke og genstarter maskinen. Hvis du har bygget en skræddersynet kerne fra kernekildekodenpakke, skal du genopbygge den for at kunne anvende disse rettelser.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.