Flere lokale sårbarheder er opdaget i Linux-kernen, hvilket kunne føre til lammelsesangreb (denial of service) eller udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
LMH rapporterede om et problem i filsystemet minix, der gjorde det muligt for lokale brugere med mount-rettigheder at iværksætte et lammelsesangreb (printk-oversvømmelse) ved at mounte et særligt fremstillet ødelagt filsystem.
Warren Togami opdagede et problem i undersystemet hrtimer, der gjorde det
muligt for en lokal bruger at forårsage et lammelsesangreb (soft
lockup
) ved at bede om et timer-hvil i et langt tidsrum, førende til et
heltalsoverløb.
Venustech AD-LAB opdagede et bufferoverløb i isdn ioctl-håndteringen, udnytbart af en lokal bruger.
Blake Frantz opdagede at når der fandtes en core-fil ejet af en bruger uden root, og en root-ejet proces dumpede core i den, beholdt core-filen sit oprindelige ejerskab. Dette kunne anvendes af en lokal bruger til at opnå adgang til følsomme oplysninger.
Hugh Dickins opdagede et problem i filsystemet tmpfs, hvor en kerneside under sjældne omstændigheder kunne blive tømt, og dermed lække følsom kernehukommelse til userspace eller medførende et lammelsesangreb (crash).
I den stabile version (etch) er disse problemer er rettet i version 2.6.18.dfsg.1-13etch6.
Følgende matriks viser yderligere pakker, der af kompatibilitetshensyn med denne opdatering, eller for at kunne benytte sig af den, er blevet genopbygget:
| Debian 4.0 (etch) | |
|---|---|
| fai-kerner | 1.17+etch.13etch6 |
| user-mode-linux | 2.6.18-1um-2etch.13etch6 |
Vi anbefaler at du omgående opgraderer din kernel-pakke og genstarter maskinen. Hvis du har bygget en skræddersynet kerne fra kernekildekodenpakke, skal du genopbygge den for at kunne anvende disse rettelser.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.