Bulletin d'alerte Debian
DSA-1011-1 kernel-patch-vserver -- Gestion incomplète des caractéristiques
- Date du rapport :
- 21 mars 2005
- Paquets concernés :
- kernel-patch-vserver, util-vserver
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 329087, Bogue 329090.
Dans le dictionnaire CVE du Mitre : CVE-2005-4347, CVE-2005-4418. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans la gestion dans Debian du mécanisme de vserver Linux. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2005-4347
Bjørn Steinbrink a découvert que la barrière du chroot n'était pas configurée correctement avec util-server, ce qui permettait de s'échapper du vserver vers le système hôte.
Cette vulnérabilité est limitée à la rustine pour le noyau 2.4, incluse dans kernel-patch-vserver. Pour corriger ce problème, il est nécessaire de mettre à jour le paquet util-vserver et d'installer un nouveau noyau construit avec le paquet kernel-patch-vserver mis à jour.
- CVE-2005-4418
La politique par défaut de util-server est de faire confiance à toutes les possibilités inconnues du système, au lieu de les considérer comme non sécurisées.
L'ancienne distribution stable (Woody) ne contient pas le paquet kernel-patch-vserver.
Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 1.9.5.5 de kernel-patch-vserver et dans la version 0.30.204-5sarge3 de util-vserver.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 2.3 de kernel-patch-vserver et dans la version 0.30.208-1 de util-vserver.
Nous vous recommandons de mettre à jour vos paquets util-vserver et kernel-patch-vserver, et de construire un nouveau noyau immédiatement.
- CVE-2005-4347
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.dsc
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.dsc
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.diff.gz
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_ia64.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.