Mailinglist Archive: opensuse-es (1047 mails)
| < Previous | Next > |
Re: [opensuse-es] IMPORTANTE exploit local root en el kernel
- From: Jackintus <jackintus@xxxxxxxxx>
- Date: Wed, 13 Feb 2008 12:04:04 +0100
- Message-id: <47B2CEA4.90608@xxxxxxxxx>
Camaleón wrote:
Sin querer complicar mas el asunto, quisiera añadir un dato que, posiblemente, pueda servir para explicar que pueda haber confusiones en torno al 'bug', el(los) kernel(s) afectado(s) y la respuesta de Novell (el patch)
Este año hubo 2 notificaciones de bugs que afectan a la funcion 'vmsplice' y que no se corresponden con el CVE-2008-0600:
1)
2)
Ambos avisos que señalan unicamente al kernel antes mencionado estan precedidos, en la nota de kernel.org que libera el parche, de este comentario:
===[ ABSTRACT ]=========================================================
A new vmsplice() system call was introduced in the 2.6.17 release of the
Linux kernel. In the 2.6.23 kernel the system call functionality has
been further extended resulting in two new critical vulnerabilities.
===[ AFFECTED SOFTWARE ]================================================
Linux 2.6.23 - 2.6.24
For the exact kernel version please refer to an information provided by
your vendor.
Después ha resultado que *también* estaba afectado el kernel 2.6.17 y han creado un nuevo CVE (CVE-2008-0600) que es un resumen de los bugs vmsplice
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0600
Al menos es lo que yo he entendido. El hecho de que kernel.org hubiese puesto a disposicion y muy rapidamente parches y lo ambiguo del redactado:
puede inducir a interpretaciones erroneas. Si te has tomado la molestia de intentar seguir el proceso, naturalmente.
Saludos
Jack
---------------------------------------------------------------------
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
Cuando sacaron el kernel 2.6.22.16-0.2 no se había detectado "ese"
bug* (CVE-2008-0600)...
Sin querer complicar mas el asunto, quisiera añadir un dato que, posiblemente, pueda servir para explicar que pueda haber confusiones en torno al 'bug', el(los) kernel(s) afectado(s) y la respuesta de Novell (el patch)
Este año hubo 2 notificaciones de bugs que afectan a la funcion 'vmsplice' y que no se corresponden con el CVE-2008-0600:
1)
The vmsplice_to_user function in fs/splice.c in the Linux kernel 2.6.22 throughhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0009
2.6.24
2)
The copy_from_user_mmap_sem function in fs/splice.chttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0010
Ambos avisos que señalan unicamente al kernel antes mencionado estan precedidos, en la nota de kernel.org que libera el parche, de este comentario:
===[ ABSTRACT ]=========================================================
A new vmsplice() system call was introduced in the 2.6.17 release of the
Linux kernel. In the 2.6.23 kernel the system call functionality has
been further extended resulting in two new critical vulnerabilities.
===[ AFFECTED SOFTWARE ]================================================
Linux 2.6.23 - 2.6.24
For the exact kernel version please refer to an information provided by
your vendor.
Después ha resultado que *también* estaba afectado el kernel 2.6.17 y han creado un nuevo CVE (CVE-2008-0600) que es un resumen de los bugs vmsplice
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0600
Al menos es lo que yo he entendido. El hecho de que kernel.org hubiese puesto a disposicion y muy rapidamente parches y lo ambiguo del redactado:
resulting in two new critical vulnerabilities
puede inducir a interpretaciones erroneas. Si te has tomado la molestia de intentar seguir el proceso, naturalmente.
Saludos
Jack
---------------------------------------------------------------------
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |