Risque
- Elévation de privilèges ;
- déni de service.
Systèmes affectés
Linux 2.4.22 et versions antérieures.
Description
Une vulnérabilité est présente dans la fonction do_brk() du noyau Linux (contrôle incorrect de l'adresse haute de la zone mémoire dynamique (TAS) du processus).
Un utilisateur mal intentionné peut exploiter cette vulnérabilité afin d'obtenir les privilèges du super-utilisateur root ou réaliser un déni de service par arrêt brutal du système.
Solution
La version 2.4.23 du noyau Linux corrige cette vulnérabilité.
Documentation
- Sources du noyau Linux :
http://www.kernel.org
- Bulletin de sécurité DSA-403 de Debian :
http://www.debian.org/security/2003/dsa-403
- Bulletin de sécurité MDKSA-2003:110 de Mandrake :
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:110
- Bulletin de sécurité RHSA-2003:392 de Red Hat :
http://rhn.redhat.com/errata/RHSA-2003-392.html
- Bulletin de sécurité SuSE-SA:2003:049 de SuSE :
http://www.suse.com/de/security/2003_049_kernel.html
- Bulletin de sécurité GLSA 200312-02 de Gentoo :
http://www.securityfocus.com/advisories/6143
- Référence CVE CAN-2003-0961 :
https://www.cve.org/CVERecord?id=CAN-2003-0961