Рекомендация Debian по безопасности
DSA-358-4 linux-kernel-2.4.18 -- различные уязвимости
- Дата сообщения:
- 31.07.2003
- Затронутые пакеты:
- linux-kernel-i386, linux-kernel-alpha
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 10330, Идентификатор BugTraq 8042, Идентификатор BugTraq 8233.
В каталоге Mitre CVE: CVE-2003-0461, CVE-2003-0462, CVE-2003-0476, CVE-2003-0501, CVE-2003-0550, CVE-2003-0551, CVE-2003-0552, CVE-2003-0018, CVE-2003-0619, CVE-2003-0643. - Более подробная информация:
-
Обнаружен ряд уязвимых мест в ядре Linux.
- CAN-2003-0461: /proc/tty/driver/serial в Linux 2.4.x показывает точное количество символов, используемых в последовательном соединении, что может позволить локальным пользователям получить потенциально значимую информацию, такую как длина паролей. Эта ошибка исправлена ограничением доступа к /proc/tty/driver/serial.
- CAN-2003-0462: Условия в способе инициализации указателей env_start и env_end в системном вызове execve и используемые в fs/proc/base.c Linux 2.4 позволяют локальным пользователям вызвать отказ в обслуживании (обвал).
- CAN-2003-0476: Системный вызов execve в Linux 2.4 записывает дескриптор файла выполняемого процесса в таблицу файлов вызывающего процесса, что позволяет локальным пользователям получить право читать дескрипторы файлов с ограниченным доступом.
- CAN-2003-0501: Файловая система /proc в Linux позволяет локальным пользователям получить значимую информацию, открывая различные элементы в /proc/self перед выполнением программы с установленным флагом setuid, в результате чего программа не может изменить принадлежность и права доступа к этим элементам.
- CAN-2003-0550: Протокол STP в том виде, в каком он реализован в Linux 2.4.x, не обеспечивает достаточной безопасности, что позволяет нападающим модифицировать топологию мостов. Эта ошибка исправлена отключением STP по умолчанию.
- CAN-2003-0551: Протокол STP в том виде, в каком он реализован в Linux 2.4.x, не обеспечивает достаточной безопасности, что позволяет нападающим модифицировать топологию мостов.
- CAN-2003-0552: Linux 2.4.x позволяет удалённым нападающим "сфабриковать" таблицу перенаправления мостов с помощью специальным образом созданных пакетов, исходные адреса которых совпадают с целевыми.
- CAN-2003-0018: Ядра Linux версий с 2.4.10 по 2.4.21-pre4 неправильно реализуют функцию O_DIRECT, что позволяет локальным нападающим с правами на запись читать фрагменты ранее удалённых файлов или вызвать повреждение файловой системы. Эта ошибка исправлена отключением O_DIRECT.
- CAN-2003-0619: Ошибка обработки знака целого числа в функции decode_fh в nfs3xdr.c в ядре Linux версий ранее 2.4.21 позволяет удалённым нападающим вызвать отказ в обслуживании (панику ядра) с помощью отрицательного значения размера данных XDR или в вызове процедуры NFSv3.
Это предложение относится только к архитектурам i386 и alpha. Обновлённые пакеты для других архитектур будут описаны в других предложениях.
В стабильном дистрибутиве (woody) на архитектуре i386 эти проблемы исправлены в пакете kernel-source-2.4.18 версии 2.4.18-13, kernel-image-2.4.18-1-i386 версии 2.4.18-11 и kernel-image-2.4.18-i386bf версии 2.4.18-5woody4.
В стабильном дистрибутиве (woody) на архитектуре alpha эти проблемы исправлены в пакете kernel-source-2.4.18 версии 2.4.18-13 и kernel-image-2.4.18-1-alpha версии 2.4.18-10.
В нестабильном дистрибутиве (sid) эти проблемы исправлены в пакете kernel-source-2.4.20 версии 2.4.20-9.
Мы рекомендуем вам обновить пакеты ядра.
Если вы используете ядро, установленное системой установки при выборе параметра "bf24" (ядро 2.4.x), вам следует установить пакет kernel-image-2.4.18-bf2.4. Если вы устанавливали другой пакет kernel-image после установки, вам следует установить соответствующее ядро 2.4.18-1. Для выбора пакета можно использовать следующую таблицу:
| "uname -r" даёт: | Установите пакет: | 2.4.18-bf2.4 | kernel-image-2.4.18-bf2.4 | 2.4.18-386 | kernel-image-2.4.18-1-386 | 2.4.18-586tsc | kernel-image-2.4.18-1-586tsc | 2.4.18-686 | kernel-image-2.4.18-1-686 | 2.4.18-686-smp | kernel-image-2.4.18-1-686-smp | 2.4.18-k6 | kernel-image-2.4.18-1-k6 | 2.4.18-k7 | kernel-image-2.4.18-1-k7
ОБРАТИТЕ ВНИМАНИЕ на то, что это ядро обладает двоичной совместимостью с предыдущим обновлением, но не совместимо с соответствующим ядром, включённым в Debian 3.0r1. Если вы уже установили предыдущее обновление (kernel-image-2.4.18-bf2.4 версии 2.4.18-5woody1 или любое из ядер 2.4.18-1-*), все пользовательские модули для работы с новым ядром должны быть пересобраны. Для всех вышеперечисленных ядер предоставляются модули PCMCIA.
ОБРАТИТЕ ВНИМАНИЕ на то, что немедленно после обновления для замены ядра требуется перезагрузка системы. Не забудьте внимательно прочесть и выполнить инструкции, отображаемые в процессе обновления ядра.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-i386_2.4.18-11.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-i386_2.4.18-11.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-image-2.4.18-i386bf_2.4.18-5woody4.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-image-2.4.18-i386bf_2.4.18-5woody4.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-image-2.4.18-1-alpha_2.4.18-10.dsc
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-image-2.4.18-1-alpha_2.4.18-10.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-13.dsc
- http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-13.diff.gz
- http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-i386_2.4.18-11.tar.gz
- Intel IA-32:
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-386_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-586tsc_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-686_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-686-smp_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-k6_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-k7_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-386_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-586tsc_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-686_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-686-smp_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-k6_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-image-2.4.18-1-k7_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-386_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-586tsc_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-686_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-686-smp_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-k6_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-pcmcia-modules-2.4.18-1-k7_2.4.18-11_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-headers-2.4.18-bf2.4_2.4.18-5woody4_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-i386bf/kernel-image-2.4.18-bf2.4_2.4.18-5woody4_i386.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-i386/kernel-headers-2.4.18-1-386_2.4.18-11_i386.deb
- Alpha:
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-headers-2.4.18-1_2.4.18-10_alpha.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-headers-2.4.18-1-generic_2.4.18-10_alpha.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-headers-2.4.18-1-smp_2.4.18-10_alpha.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-image-2.4.18-1-generic_2.4.18-10_alpha.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-image-2.4.18-1-smp_2.4.18-10_alpha.deb
- http://security.debian.org/pool/updates/main/k/kernel-image-2.4.18-1-alpha/kernel-headers-2.4.18-1-generic_2.4.18-10_alpha.deb
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-doc-2.4.18_2.4.18-13_all.deb
- http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-13_all.deb
- http://security.debian.org/pool/updates/main/k/kernel-source-2.4.18/kernel-source-2.4.18_2.4.18-13_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.
Контрольные суммы MD5 этих файлов доступны в пересмотренном сообщении.