Debian-Sicherheitsankündigung

DSA-444-1 linux-kernel-2.4.17-ia64 -- Fehlende Überprüfung von Funktionsrückgabewerten

Datum des Berichts:
20. Feb 2004
Betroffene Pakete:
kernel-image-2.4.17-ia64
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 9686.
In Mitres CVE-Verzeichnis: CVE-2004-0077.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#981222.
Weitere Informationen:

Paul Starzetz und Wojciech Purczynski von ipsec.pl entdeckten eine kritische Verwundbarkeit im Speichermanagement-Code von Linux im mremap(2)-Systemaufruf. Durch die fehlende Überprüfung der Rückgabewerte interner Funktionen kann ein lokaler Angreifer root-Rechte erlangen.

Für die stable Distribution (Woody) wurde dieses Problem in Version 011226.16 der ia64-Kernel-Quellcodes und -Images behoben.

Andere Architekturen wurden oder werden in separaten Sicherheitsgutachten behandelt oder sind nicht betroffen (m68k).

Für die unstable Distribution (Sid) wird dieses Problem in Version 2.4.24-3 behoben werden.

Dieses Problem wurde auch in den Upstream-Versionen 2.4.25 und 2.6.3 behoben.

Wir empfehlen Ihnen, Ihre Linux-Kernel-Pakete zu aktualisieren.

Verwundbarkeitsmatrix für CAN-2004-0077.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-ia64_011226.16.dsc
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-ia64_011226.16.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-source-2.4.17-ia64_011226.16_all.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-headers-2.4.17-ia64_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-itanium_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-itanium-smp_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-mckinley_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-mckinley-smp_011226.16_ia64.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.