Debian Security Advisory DSA 358-1

[dea]

New kernel source and i386, alpha kernel images fix multiple vulnerabilities

Es gibt neue kernel images und sourcen ...

[captaincrunch]

Tja, das war's dann wohl wieder mit Debians GRSecurity-Patch ... ;)

[dea]

Kann gut sein - bin die Liste der Fixes noch am lesen (boah, ist die lang ...)

[gamecrash]

Jo das rentiert sich mal wieder...

[arty]

Da gehen wieder die Uptimes flöten.... :?

bye
arty

[dea]

Da gehen wieder die Uptimes flöten.... :?

*grinZ*

Ich frag' mich nur, inwiefern mein 2.4.21er davon betroffen ist ...

[cjhbabel]

Ich frag' mich nur, inwiefern mein 2.4.21er davon betroffen ist ...

Ja, das würde ich auch gerne wissen. Weiss dazu schon jemand näheres?

[dodolin]

Tja, das ist PP, würde ich sagen, wenn man 2.4.21 unter Debian auf Produktivsystemen einsetzt, weil es dafür nunmal keine Advisories gibt und auch keine Security-Fixes.

Was ich aber nicht ganz checke, ist, dass ich ja bereits 2.4.18-1-686 drauf habe, vom letzten Security-Update wegen ptrace und die neuen Pakete scheinbar auch nur -1 als Versionsnummer haben? Naja, werde da demnächst später mal nachschauen, was da jetzt los ist...

[arty]

Hi dodolin,

in dem neuen Kernel sind neue Fixes drin, u.a. der Fix für den NFS-Bug. Hier die Auflistung:

A number of vulnerabilities have been discovered in the Linux kernel.

- - CAN-2003-0461: /proc/tty/driver/serial in Linux 2.4.x reveals the
exact number of characters used in serial links, which could allow
local users to obtain potentially sensitive information such as the
length of passwords. This bug has been fixed by restricting access
to /proc/tty/driver/serial.

- - CAN-2003-0462: A race condition in the way env_start and env_end
pointers are initialized in the execve system call and used in
fs/proc/base.c on Linux 2.4 allows local users to cause a denial of
service (crash).

- - CAN-2003-0476: The execve system call in Linux 2.4.x records the
file descriptor of the executable process in the file table of the
calling process, which allows local users to gain read access to
restricted file descriptors.

- - CAN-2003-0501: The /proc filesystem in Linux allows local users to
obtain sensitive information by opening various entries in
/proc/self before executing a setuid program, which causes the
program to fail to change the ownership and permissions of those
entries.

- - CAN-2003-0550: The STP protocol, as enabled in Linux 2.4.x, does not
provide sufficient security by design, which allows attackers to
modify the bridge topology. This bug has been fixed by disabling
STP by default.

- - CAN-2003-0551: The STP protocol, as enabled in Linux 2.4.x, does not
provide sufficient security by design, which allows attackers to
modify the bridge topology.

- - CAN-2003-0552: Linux 2.4.x allows remote attackers to spoof the
bridge forwarding table via forged packets whose source addresses
are the same as the target.

- - CAN-2003-0018: Linux kernel 2.4.10 through 2.4.21-pre4 does not
properly handle the O_DIRECT feature, which allows local attackers
with write privileges to read portions of previously deleted files,
or cause file system corruption. This bug has been fixed by
disabling O_DIRECT.

- - CAN-2003-0619: Integer signedness error in the decode_fh function of
nfs3xdr.c in Linux kernel before 2.4.21 allows remote attackers to
cause a denial of service (kernel panic) via a negative size value
within XDR data of an NFSv3 procedure call.

bye
arty

[captaincrunch]

In den 2.4.21er sind die meisten der Fixes schon eingeflossen, und sind backportet worden. Müsste auch eigentlich im Changelog der Debian-Sourcen stehen, aber da hab ich noch nicht reingeschaut.

[dodolin]

Hi dodolin,

in dem neuen Kernel sind neue Fixes drin, u.a. der Fix für den NFS-Bug. Hier die Auflistung:

Danke, danke. Aber das ist mir schon klar, ich lese die Liste ja selbst. :)
Mich verwundert lediglich die Versionsnummer des im DSA erwähnten Paketes 2.4.18-1, weil ich bereits einen Kernel mit genau dieser Versionsnummer habe. Ich dachte, das sollte dann jetzt eher 2.4.18-2 heißen, aber ok...

[captaincrunch]

Die Version, die im DSA erwähnt wird, mag zwar die "-1" sein, sofern du mal die Kernel-Sourcen holst, wirst du sehen, dass diese die "-11" haben ... ;)

[dodolin]

BTW: Es gibt schon wieder neue i386 Kernel-Pakete von Debian stable, diesesmal allerdings ohne DSA?!

Changlog:

Code: Select all

kernel-image-2.4.18-1-i386 (2.4.18-10) stable-security; urgency=high

  * Rebuilt against kernel-source 2.4.18-12 (closes: #203802).
    . Fixed is_dumpable crash in include/linux/sched.h.

 -- Herbert Xu <herbert#debian.org>  Sat,  2 Aug 2003 09:18:34 +1000

BTW^2: Wer apt-listchanges installiert hat, bekommt bei apt-get upgrade automatisch die Changelogs angezeigt und kann dann mit Y/N entscheiden, ob er immer noch upgraden will. Wahlweise kann man sich die Changelogs auch noch per Mail schicken lassen. IMHO geiles Tool!

[dodolin]

BTW: Es gibt schon wieder neue i386 Kernel-Pakete von Debian stable, diesesmal allerdings ohne DSA?!

Das ich das mal erleben durfte... Inzwischen gibt es auch das DSA dafür, ich war also wohl nur etwas schneller als das DSA. Krass! :)

[captaincrunch]

Btw. : Die "Debianhowto-Kernel" ( 2.4.21 http://www.rootforum.org/forum/viewtopic.php?t=12450 ) sind nicht betroffen ... ;)