Alerta de Segurança Debian
DSA-1011-1 kernel-patch-vserver -- falta de suporte de atributo
- Data do Alerta:
- 21 Mar 2005
- Pacotes Afetados:
- kernel-patch-vserver, util-vserver
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- No sistema de acompanhamento de bugs do Debian: Bug 329087, Bug 329090.
No dicionário CVE do Mitre: CVE-2005-4347, CVE-2005-4418. - Informações adicionais:
-
Várias vulnerabilidades foram descobertas no suporte Debian ao vserver para Linux. O [1]Projeto Common Vulnerabilities and Exposures identificou os seguintes problemas:
- CVE-2005-4347
Bjørn Steinbrink descobriu que a barreira chroot não é definida corretamente com util-vserver que pode resultar em saída não autorizada de dentro do vserver para o sistema hospedeiro.
Esta vulnerabilidade é limitada ao patch para o kernel 2.4 no kernel-patch-vserver. A correção para este problema requer a atualização do pacote util-vserver bem como a instalação de um novo kernel construído com o pacote kernel-patch-vserver atualizado.
- CVE-2005-4418
A política padrão do util-vserver é definida para confiar em todas as potencialidades desconhecidas ao invés de considerá-las como inseguras.
A antiga distribuição estável ("woody") não contém o pacote kernel-patch-vserver.
Para a distribuição estável ("sarge") este problema foi corrigido na versão 1.9.5.5 do kernel-patch-vserver e na versão 0.30.204-5sarge3 do util-vserver.
Para a distribuição instável ("sid") este problema foi corrigido na versão 2.3 do kernel-patch-vserver e na versão 0.30.208-1 do util-vserver.
Nós recomendamos que você atualize seus pacotes util-vserver e kernel-patch-vserver e construa um novo kernel imediatamente.
- CVE-2005-4347
- Corrigido em:
-
Debian GNU/Linux 3.1 (sarge)
- Fonte:
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.dsc
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.dsc
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.diff.gz
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204.orig.tar.gz
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_amd64.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_ia64.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.