Bulletin d'alerte Debian

DSA-444-1 linux-kernel-2.4.17-ia64 -- Absence de vérification de la valeur retournée

Date du rapport :
20 février 2004
Paquets concernés :
kernel-image-2.4.17-ia64
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 9686.
Dans le dictionnaire CVE du Mitre : CVE-2004-0077.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#981222.
Plus de précisions :

Paul Starzetz et Wojciech Purczynski de isec.pl ont découvert une faille de sécurité critique dans le code de gestion de la mémoire de Linux, au sein de l'appel système mremap(2). En raison de l'absence de vérification de la valeur retournée par des fonctions internes, un attaquant local pouvait obtenir les droits du superutilisateur.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 011226.16 des sources et des images du noyau ia64.

Les autres architectures sont ou seront mentionnées dans un bulletin séparé ou n'ont pas été affectées (m68k).

Pour la distribution instable (Sid), ce problème sera corrigé dans la version 2.4.24-3.

Ce problème est également corrigé dans la version amont Linux 2.4.25 et 2.6.3.

Nous vous recommandons de mettre à jour vos paquets Linux immédiatement.

Matrice de vulnérabilité pour l'entrée CAN-2004-0077

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-ia64_011226.16.dsc
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-ia64_011226.16.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-source-2.4.17-ia64_011226.16_all.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-headers-2.4.17-ia64_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-itanium_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-itanium-smp_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-mckinley_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-mckinley-smp_011226.16_ia64.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.