Debian セキュリティ勧告

DSA-444-1 linux-kernel-2.4.17-ia64 -- 関数の戻り値チェックの抜け

報告日時:
2004-02-20
影響を受けるパッケージ:
kernel-image-2.4.17-ia64
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 9686.
Mitre の CVE 辞書: CVE-2004-0077.
CERT の脆弱性リスト、勧告および付加情報: VU#981222.
詳細:

isec.pl の Paul Starzetz さんと Wojciech Purczynski さんにより、Linux のメモリ管理コードの mremap(2) システムコール内に致命的なセキュリティ上の欠陥が発見されました。 内部関数の戻り値をチェックしていないため、ローカルの攻撃者が root 権限を奪えます。

安定版 (stable) ディストリビューション(woody) ではこの問題は ia64 向けカーネルソースとイメージのバージョン 011226.16 で修正されています。

他のアーキテクチャについては、m68k 以外は独立した別の勧告が出されます。 m68k は影響がありません。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は ia64 向けカーネルソースとイメージのバージョン 2.4.24-3 で修正されています。

この問題は、上流のカーネルソースの Linux 2.4.25 と 2.6.3 で修正されています。

直ちに Linux カーネルをアップグレードすることをお勧めします。

CAN-2004-0077 の 脆弱性の一覧表

修正:

Debian GNU/Linux 3.0 (woody)

ソース:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-ia64_011226.16.dsc
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-ia64_011226.16.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-source-2.4.17-ia64_011226.16_all.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-headers-2.4.17-ia64_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-itanium_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-itanium-smp_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-mckinley_011226.16_ia64.deb
http://security.debian.org/pool/updates/main/k/kernel-image-2.4.17-ia64/kernel-image-2.4.17-mckinley-smp_011226.16_ia64.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。