|
OSA-2003-7
1 サマリ
|
|
|
|
|
|
kernel-2.4.18/2.4.19/2.4.20
|
|
|
|
2 詳細
バージョン 2.4.10〜2.4.20 の Linux カーネルに複数の脆弱性が発見されました。
|
|
|
|
悪意のあるローカルのユーザへの情報漏洩、またはファイルシステムの破壊
|
|
の可能性があります。
|
|
|
|
いくつかの NIC ドライバが、送信するパケットの末尾のメモリ領域をヌル文字で上書きしていないため、リモートの悪意あるユーザが特殊なパケットを用いて、この部分に書き込まれていた内容 (直前のパケットやカーネルの一部) を取得できてしまう可能性があります。
|
|
|
|
|
|
O_DIRECT 周りの不備により、ファイルシステムへの書き込み権限を持つ悪意あるローカルのユーザが、既に削除されているファイルを読み込めてしまったり、ファイルシステムを破壊したりできる可能性があります。ただし、ARMA でサポートしているファイルシステムのうち、O_DIRECT を利用する可能性があるものは DMAPI を利用した XFS (通常利用では DMAPI は使いません) と 2.4.19 以前の JFS に限られます。(ext2/3, ReiserFS には影響ありません)
|
|
詳細については以下をご参照ください。
なお、今回公開したカーネル 2.4.20-3 では新たに IPv6 スタック USAGI の stable release 4.1 を組み込みました。これにより ARMA のカーネル 2.4.20 も現安定版の 2.4.19 とほぼ同機能を備えることになったため、今リビジョンより 2.4.20 も安定版カーネルの扱いと致します。
3 対処方法
2.4.19 以前のカーネルをお使いの方は、以下のようにカーネル 2.4.19-11 をインストールしてください。
|
|
|
# apt-get update
|
|
# apt-get installl kernel-2.4.19
|
|
|
|
カーネル 2.4.20 をお使いの方は、以下のようにカーネル 2.4.20-3 をインストールしてください。
|
|
|
# apt-get update
|
|
# apt-get installl kernel-2.4.20
|
|
|
|
| |
|
|
