Le composant kmod autorise le noyau à charger dynamiquement les modules si la fonctionnalité requise n'est pas présente dans le noyau. Cela est rendu possible par la commande modprobe avec le module requis passé en paramètre. Ce paramètre peut être influencé par les utilisateurs en ouvrant par exemple un fichier inexistant sur le système de fichiers devfs ou en essayant d'accéder à une interface réseau non existante. Puisque modprobe n'échappe pas correctement les métacaractères lorsqu'il appelle des commandes externes ou qu'il vérifie si le dernier paramètre est une option au lieu d'un nom de module, les utilisateurs peuvent forcer l'exécution de commandes arbitraires.
Ce problème a été corrigé dans la version 2.3.11-12 et nous vous recommandons la mise à jour immédiate de votre paquet modutils.