Alerta de Segurança Debian

DSA-1011-1 kernel-patch-vserver -- falta de suporte de atributo

Data do Alerta:
21 Mar 2005
Pacotes Afetados:
kernel-patch-vserver, util-vserver
Vulnerável:
Sim
Referência à base de dados de segurança:
No sistema de acompanhamento de bugs do Debian: Bug 329087, Bug 329090.
No dicionário CVE do Mitre: CVE-2005-4347, CVE-2005-4418.
Informações adicionais:

Várias vulnerabilidades foram descobertas no suporte Debian ao vserver para Linux. O [1]Projeto Common Vulnerabilities and Exposures identificou os seguintes problemas:

  • CVE-2005-4347

    Bjørn Steinbrink descobriu que a barreira chroot não é definida corretamente com util-vserver que pode resultar em saída não autorizada de dentro do vserver para o sistema hospedeiro.

    Esta vulnerabilidade é limitada ao patch para o kernel 2.4 no kernel-patch-vserver. A correção para este problema requer a atualização do pacote util-vserver bem como a instalação de um novo kernel construído com o pacote kernel-patch-vserver atualizado.

  • CVE-2005-4418

    A política padrão do util-vserver é definida para confiar em todas as potencialidades desconhecidas ao invés de considerá-las como inseguras.

A antiga distribuição estável ("woody") não contém o pacote kernel-patch-vserver.

Para a distribuição estável ("sarge") este problema foi corrigido na versão 1.9.5.5 do kernel-patch-vserver e na versão 0.30.204-5sarge3 do util-vserver.

Para a distribuição instável ("sid") este problema foi corrigido na versão 2.3 do kernel-patch-vserver e na versão 0.30.208-1 do util-vserver.

Nós recomendamos que você atualize seus pacotes util-vserver e kernel-patch-vserver e construa um novo kernel imediatamente.

Corrigido em:

Debian GNU/Linux 3.1 (sarge)

Fonte:
http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.dsc
http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5.tar.gz
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.dsc
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3.diff.gz
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/k/kernel-patch-vserver/kernel-patch-vserver_1.9.5.5_all.deb
Alpha:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_amd64.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_ia64.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/u/util-vserver/util-vserver_0.30.204-5sarge3_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.