Bulletin d'alerte Debian

DSA-433-1 kernel-patch-2.4.17-mips -- Dépassement d'entier

Date du rapport :
4 février 2004
Paquets concernés :
kernel-patch-2.4.17-mips
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9138.
Dans le dictionnaire CVE du Mitre : CVE-2003-0961.
Plus de précisions :

Les équipes noyau et sécurité de Red Hat et de SuSE ont révélé un dépassement d'entier dans la fonction do_brk() du noyau Linux qui permet à des utilisateurs locaux de gagner les privilèges du superutilisateur.

Pour la distribution stable (Woody), ce problème a été corrigé dans la version 2.4.17-0.020226.2.woody4. Les autres architectures ont déjà été corrigées ou seront corrigées séparément.

Pour la distribution instable (Sid), ce problème sera corrigé prochainement avec de nouvelles versions des paquets.

Nous vous recommandons de mettre à jour vos paquets d'images de noyau pour les architectures mips et mipsel. Ce problème a été corrigé dans la version amont 2.4.23 et est également bien sûr corrigé dans la version 2.4.24

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody4.dsc
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody4.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-patch-2.4.17-mips_2.4.17-0.020226.2.woody4_all.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-headers-2.4.17_2.4.17-0.020226.2.woody4_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r4k-ip22_2.4.17-0.020226.2.woody4_mips.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r5k-ip22_2.4.17-0.020226.2.woody4_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-headers-2.4.17_2.4.17-0.020226.2.woody4_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r3k-kn02_2.4.17-0.020226.2.woody4_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/kernel-image-2.4.17-r4k-kn04_2.4.17-0.020226.2.woody4_mipsel.deb
http://security.debian.org/pool/updates/main/k/kernel-patch-2.4.17-mips/mips-tools_2.4.17-0.020226.2.woody4_mipsel.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.