blob: f8bc5a0a26da9eff74f77fe9feec6ef26637a241 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flera sårbarheter</define-tag>
<define-tag moreinfo>
<p>
Flera lokala och utifrån nåbara sårbarheter har upptäckts i Linuxkärnan,
vilka användas i en överbelastningsattack eller för att exekvera godtycklig
kod.
Projektet Common Vulnerabilities and Exposures identifierar följande
problem:
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-2172">CVE-2007-2172</a>
<p>
Thomas Graf rapporterade om en felskrivning i IPv4-protokollhanteraren
som kunde utnyttjas av en lokal angripare till att spilla ett fält genom
specialskrivna paket, vilket potentiellt kunde användas i en
överbelastningsattack (systemkrasch).
DECnet-motsvarigheten till detta problem har redan rättats i DSA-1356.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-2875">CVE-2007-2875</a>
<p>
iDefense rapporterade om ett potentiellt heltalsunderspill i
cpuset-filsystemet, vilket kunde göra det möjligt för lokala angripare
att få tillgång till känsligt minne från kärnan.
Denna sårbarhet kan endast utnyttjas då cpuset-filsystemet har monterats.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-3105">CVE-2007-3105</a>
<p>
PaX-gruppen upptäckte ett potentiellt buffertspill i slumptalsgeneratorn,
vilket kunde göra det möjligt för lokala användare att utföra en
överbelastningsattack eller uppnå ytterligare privilegier.
Problemet anses inte påverka Debians standardinstallation där bara root
har tillräcklig behörighet till att utnyttja det.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-3843">CVE-2007-3843</a>
<p>
Ett kodningsfel i CIFS-undersystemet gör det möjligt att använda
osignerade meddelanden även om klienten har konfigurerat systemet till
att framtvinga signering genom att sända med monteringsflaggan
sec=ntlmv2i.
Detta kan göra det möjligt för angripare utifrån att fejka
CIFS-nätverkstrafik.
</p>
</li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2007-4308">CVE-2007-4308</a>
<p>
Alan Cox rapporterade ett problem i aacraid-drivrutinen som gjorde det
möjligt för lokala användare att utföra ioctl-anrop som borde vara
begränsade till användare med administratörprivilegier.
</p>
</li>
</ul>
<p>
Dessa problem har rättats in den stabila utgåvan i version
2.6.18.dfsg.1-13etch2.
</p>
<p>
Följande tabell beskriver ytterligare paket som byggts om för kompatibilitet
med, eller för att dra nytta av, denna uppdatering:
</p>
<div class="centerdiv"><table cellspacing="0" cellpadding="2">
<tr><th> </th> <th>Debian 4.0 (Etch)</th></tr>
<tr><td>fai-kernels</td> <td>1.17+etch5</td></tr>
<tr><td>user-mode-linux</td> <td>2.6.18-1um-2etch4</td></tr>
</table></div>
<p>
Vi rekommenderar att ni uppgraderar ert kärnpaket omedelbart och startar om
maskinen.
Om du har byggt en egen kärna från källkodspaketet måste du bygga om för att
dra nytta av dessa rättelser.
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1363.data"
|
