複数の深刻な欠陥が Linux カーネルに発見されました。この修正は、 alpha、i386、powerpc アーキテクチャの Linux 2.4.18 に対するものです。 The Common Vulnerabilities and Exposures project で確認されている以下の欠陥が、今回のアップデートで修正されています。
R128 DRI ドライバに欠陥があり、 攻撃者が不正に権限を昇格させることが可能です。 Alan Cox さんと Thomas Biege さんがこの問題の修正を作成しました。
Arjan van de Ven さんにより、Linux カーネルの ncpfs の ncp_lookup 関数にスタック回りのバッファオーバフローが発見されました。 この欠陥により攻撃者が不正に権限を昇格させることが可能です。 Petr Vandrovec さんがこの欠陥の修正を作成しました。
zen-parse さんにより、Linux カーネルの ISO9660 ファイルシステムにバッファオーバフローが発見されました。 この欠陥により攻撃者が不正に root 権限を得ることが可能です。 Sebastian Krahmer さんと Ernie Petrides さんがこの欠陥の修正を作成しました。
Solar Designer さんにより、Linux の ext3 コードに情報の漏洩箇所が発見されました。最悪の場合、攻撃者は、 他の方法ではディスクから読み出せない暗号鍵などの重要なデータを 読み出すことが可能です。Theodore Ts'o さんがこの欠陥の修正を作成しました。
Andreas Kies さんにより、Linux の Sound Blaster ドライバにサービス不能 (DoS) 攻撃欠陥が発見されました。 彼により修正も行われました。
これらの問題は、上流の Linux 2.4.26 で修正されました。Linux 2.6.6 でも修正の予定です。
以下の一覧表は、各アーキテクチャのどのバージョンで修正がされているかを 示したものです。不安定版 (unstable) ディストリビューション (sid) のカーネルイメージは近く修正予定です。
| アーキテクチャ | 安定版 (stable) (woody) | 不安定版 (unstable) (sid) | sid から削除 |
|---|---|---|---|
| ソース | 2.4.18-14.3 | 2.4.25-3 | — |
| alpha | 2.4.18-15 | 近日中 | — |
| i386 | 2.4.18-13 | 近日中 | — |
| i386bf | 2.4.18-5woody8 | 近日中 | — |
| powerpc | 2.4.18-1woody5 | 2.4.25-8 | 2.4.22 |
Debian 提供のカーネルパッケージであるか、 ご自分でコンパイルされたものかにかかわらず、 直ちにカーネルパッケージを更新することをお勧めします。
CAN-2004-0109 の 脆弱性の一覧表
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。