この広告は、90日以上更新していないブログに表示しています。

2004-04-16

Buffer Overflow in ISO9660 File System Component of Linux Kernel

• ISO9600ファイルシステムのシンボリックリンクの長さをチェックしていないために、細工されたCDを使用してバッファーオーバーフローを起こすことができる。
  • 対象は2.4.x、2.5.x、2.6.xだがそれ以前のカーネルにもあるかもしれない(ってそれじゃ全部ぢゃないか
  • 各ディストリビューションの対応は上記ページ発表時点で以下の通り
    • Slackware:対応待ち、対応のパッチがでるまでは非rootuserにCD-ROMのmountを許可しないよう勧めます。
    • SUSE:http://www.suse.de/de/security/2004_09_kernel.html
    • Debian:http://www.debian.org/security/2004/dsa-479-1 (←i386系)
    • Mandrake:http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:029

• Linux Kernel File Systems Information Leak and Denial of Service
  • これは上とは別
  • 対象は2.4.25以前の2.4.xおよび2.6.5以前の2.6.x
    • 2.4.26か2.6.6rc1にバージョンアップすることで回避できる
  • Not critical対象がlocalなのでこれを契機にアップとはいかないかな。