Debian-Sicherheitsankündigung
DSA-1011-1 kernel-patch-vserver -- Fehlende Unterstützung für Attribute
- Datum des Berichts:
- 21. Mär 2005
- Betroffene Pakete:
- kernel-patch-vserver, util-vserver
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 329087, Fehler 329090.
In Mitres CVE-Verzeichnis: CVE-2005-4347, CVE-2005-4418. - Weitere Informationen:
-
Mehrere Verwundbarkeiten wurden in der Debian Vserver-Unterstützung für Linux entdeckt. Das
Common Vulnerabilities and Exposures Project
identifiziert die folgenden Probleme:- CVE-2005-4347
Bjørn Steinbrink entdeckte, dass die chroot-Barriere mit util-vserver nicht korrekt eingerichtet ist, was in unautorisierten Ausbrüchen aus dem Vserver ins beherbergende System resultieren mag.
Diese Verwundbarkeit ist auf den in kernel-patch-vserver enthaltenen 2.4 Kernelpatch beschränkt. Die Korrektur dieses Problems erfordert auch noch die Aktualisierung des Pakets util-vserver und die Installation eines neuen Kernels, der mit Hilfe des aktualisierten Pakets kernel-patch-vserver erstellt wurde.
- CVE-2005-4418
Die Standard-Richtlinie (policy) von util-vserver ist so eingestellt, dass allen unbekannten Fähigkeiten (capabilities) vertraut wird, anstatt sie als unsicher einzustufen.
Die alte Stable-Distribution (Woody) enthält das Paket kernel-patch-vserver nicht.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.9.5.5 von kernel-patch-vserver und in Version 0.30.204-5sarge3 von util-vserver behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 2.3 von kernel-patch-vserver und in Version 0.30.208-1 von util-vserver behoben.
Wir empfehlen Ihnen, Ihre util-vserver- und kernel-patch-vserver-Pakete zu aktualisieren und sofort einen neuen Kernel zu erstellen.
- CVE-2005-4347
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.dsc
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.dsc
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.diff.gz
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_ia64.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.