Flera lokala och utifrån nåbara sårbarheter har upptäckts i Linuxkärnan, vilka kunde användas överbelastningsattacker eller till att exekvera godtycklig kod. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
Daniel Roethlisberger upptäckte två buffertspill i cm4040-drivrutinen för Omnikey CardMan 4040-enheten. En lokal användare eller en elakartad enhet kunde utnyttja detta till att exekvera godtycklig kod i kärnrymden.
Santosh Eraniose rapporterade en sårbarhet som gjorde det möjligt för lokala användare att läsa i övrigt oläsbara filer genom att orsaka en kärndump medan PT_INTERP användes. Detta är relaterat till CVE-2004-1073.
Jean Delvare rapporterade en sårbarhet i appletalk-undersystemet. System med appletalkmodulen inläst kunde fås att krascha av andra system på det lokala nätverket genom en felformaterad ram.
Masayuki Nakagawa upptäckte att flödesetiketter felaktigt delades mellan lyssnande uttag (sockets) och barnuttag (child sockets). Felet kunde utnyttjas av lokala användare till att utföra en överbelastningsattack (Oops).
Dessa problem har rättats i den stabila utgåvan i version 2.6.18.dfsg.1-12etch1 .
Följande tabell beskriver ytterligare paket som byggts om för kompatibilitet med, eller för att dra nytta av, denna uppdatering:
| Debian 4.0 (Etch) | |
|---|---|
| fai-kernels | 1.17etch1 |
| user-mode-linux | 2.6.18-1um-2etch1 |
Vi rekommenderar att ni uppgraderar ert kärnpaket omedelbart och startar om maskinen. Om du har byggt en egen kärna från kärnkällkoden måste du bygga om den för att dra nytta av dessa rättelser.
Uppdaterade paket för mips- och mipsel-arkitekturerna är ännu inte tillgängliga. De kommer tillhandahållas senare.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.