Flere lokale og fjernudnytbare sårbarheder er opdaget i Linux-kernen, hvilket kunne føre til lammelsesangreb (denial of service) eller udførelse af vilkårlig kode. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Michal Miroslaw rapporterede om et lammelsesangrebssårbarhed (DoS, nedbrud) i netfilter. En fjernangriger kunne forårsage en NULL-pointer dereference i funktionen nfnetlink_log.
Patrick McHardy rapportede om en sårbarhed i netfilter, hvilket kunne gøre det muligt for angribere at omgå visse firewall-regler. nfctinfo-værdien af gensamlede IPv6-pakkefragmenter var initialiseret ukorrekt til 0, hvilket gjorde det muligt for disse pakker at blive sporet som ESTABLISHED.
Jaco Kroon rapportede en fejl i hvilken NETLINK_FIB_LOOKUP-pakker ukorrekt blev sendt tilbage til kernen, medførende en uendelig løkke-tilstand. Lokale brugere kunne udnytte denne virkemåde til at forårsage et lammelsesangreb (nedbrud).
Disse problemer er rettet i den stabile distribution i version 2.6.18.dfsg.1-12etch2.
Følgende matriks opremser yderligere pakker, der blev genopbygget af kompatibilitetshensyn med denne opdatering:
| Debian 4.0 (etch) | |
|---|---|
| fai-kerner | 1.17+etch2 |
| user-mode-linux | 2.6.18-1um-2etch2 |
| kernel-patch-openvz | 028.18.1etch1 |
Vi anbefaler at du omgående opgraderer din kernel-pakke og genstarter maskinen. Hvis du har bygget en skræddersynet kerne fra kernekildekodenpakke, skal du genopbygge den for at kunne anvende disse rettelser.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.