Flere sårbarheder er opdaget i Linux-kernen, hvilket måske kunne føre til lammelsesangreb (denial of service) eller rettighedsforøgelse. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
Tavis Ormandy rapporterede om et lokalt lammelsesangreb og potentiel rettighedsforøgelse i implementeringen af Virtual Dynamic Shared Objects (vDSO).
Eugene Teo rapporterede om et lokalt lammelsesangrebsproblem i ext2- og ext3-filsystemerne. Lokale brugere, med tilstrækkelige rettigheder til at montere et filsystem, kunne fremstille et ødelagt filsystem, der fik kernen til at udskrive fejlmeddelelser i en uendelig løkke.
Milos Szeredi rapporterede, at anvendelse af splice() på filer åbnet med O_APPEND tillod brugere at skrive til filen på vilkårlige positioner, hvilket gjorde det muligt at omgå mulig formodet semantik ved O_APPEND-flaget.
Vlad Yasevich rapporterede om et problem i SCTP-undersystemet, der måske kunne gøre det muligt for fjernbrugere at forårsage et lokalt lammelsesangreb ved at udløse en kerne-oops.
Eric Sesterhenn rapporterede om et lokalt lammelsesangrebsproblem i hfsplus-filsystemet. Lokale brugere, med tilstrækkelige rettigheder til at montere et filsystem, kunne fremstille et ødelagt filsystem, der fik kernen til at få en buffer til at løbe over, medførende en system-oops eller hukommelseskorruption.
Eric Sesterhenn rapporterede om et lokalt lammelsesangrebsproblem i hfsplus-filsystemet. Lokale brugere, med tilstrækkelige rettigheder til at montere et filsystem, kunne fremstille et ødelagt filsystem, der fik kernen til at få en buffer til at løbe over, medførende en kerne-oops på grund af en ikke-aflæst returværdi.
Eric Sesterhenn rapporterede om et lokalt lammelsesangrebsproblem i hfsplus-filsystemet. Lokale brugere, med tilstrækkelige rettigheder til at montere et filsystem, kunne fremstille et filsystem med en ødelagt katalognavnelængde, medførende et system-oops eller hukommelseskorruption.
Andrea Bittau rapporterede om et lammelsesangrebsproblem i Unix-socket-undersystemet, hvilket gjorde det muligt for en lokal bruger at forårsage hukommelseskorruption, medførende en kernepanik.
Hugo Dias rapporterede om en lammelsesangrebstilstand i ATM-undersystemet, der kunne udløses af en lokal bruger ved at kalde funktionen svc_listen to gange på den samme socket og læse /proc/net/atm/*vc.
Al Viro rapporterede om en race-tilstand i inotify-undersystemet, hvilket måske kunne gøre det muligt for lokale brugere for opnå forøgede rettigheder.
Dann Frazier rapporterede om et lammelsesangrebsproblem, der gjorde det muligt for lokale brugere at forårsage, at opbrugt hukommelses-håndteringen dræbte priviligerede processer eller udløste bløde låsninger, på grund af et udsultningsproblem i Unix-socket-undersystemet.
I den stabile distribution (etch), er dette problem rettet i version 2.6.18.dfsg.1-23etch1.
Vi anbefaler at du opgraderer dine linux-2.6-, fai-kernels- og user-mode-linux-pakker.
Bemærk: Debian 'etch' indeholder linux-kernepakker baseret på både linux 2.6.18- og 2.6.24-udgaverne. Alle kendte sikkerhedsproblemer er omhyggeligt sporet mod begge pakker, og begge pakker vil blive sikkerhedsopdateret indtil sikkerhedsunderstøttelsen i Debian 'etch' ophører. Men på grund af den høje frekvens hvormed der findes sikkerhedsproblemer af lav alvorlighedsgrad i kernen samt på grund af de ressoucer det kræver, at gennemføre en opdatering, vil opdateringer til 2.6.18 og 2.6.24 med en lav alvorlighedsgrad typisk blive frigivet i "klumper".
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.