[Linux-bruxelles] Grand trou de sécurité ?dans le kernel

Rémi Laurent remi.laurent at fsugar.be
Dim 17 Fév 16:44:26 CET 2008


* Tourneur Henry-Nicolas - 17-02-2008 à 11h27:

> On Sunday 17 February 2008 11:01, Marc Van Craesbeeck wrote:
> > Le mercredi 13 février 2008 à 21:37 +0100, AlainBB a écrit :
> > > Ben, des mauvaises surprises...
> > > Il m'est arrivé parfois de me retrouver avec quelque chose de foireux,
> > > et depuis lors, je me méfie des upgrade.
> > > C'est vrai qu'en debian, je ne sais pas si j'ai eu des mauvaises
> > > surprises, mais j'en ai eu de mauvaise avec Suse en tout cas, et j'ai
> > > pris un peu la politique de ne plus faire d'upgrade mais de faire des
> > > réinstall de nouvelle version, mais vu la faille annoncée... je me dis
> > > qu'il faut bien y passer.
> >
> > Bonjour Alain,
> >
> > A propos de la politique de sécurité chez Debian:
> > http://formation-debian.via.ecp.fr/ch21.html
> >
> > Bon, j'ai pas de serveur mais, rapport à la sécurité, Debian ne m'a
> > jamais surpris. La correction dans etch est venue jeudi 14 je pense.
> >
> On ne peut pas vraiment dire que tu glorifie Debian là.
> La correction est apparue dans Etch le lundi 11 tandisque la faille à été 
> découverte durant le week-end. La différence est quand même assez importante 
> sur un système sensible (entre une correction venue le lendemain, ou 
> sur-lendemain, selon que la faille date du samedi ou du dimanche, et une 
> correction venue 4 ou 5 jours après, l'impact que ça peut avoir est assez 
> différent).
> 
> On peut s'abonner à la liste de diffusion debian-security-announce pour 
> recevoir ce genre d'info.

http://www.securityfocus.com/bid/27704/
Published:  	 Feb 08 2008 12:00AM

http://www.milw0rm.com/local.php
2008-02-09  Linux Kernel 2.6.23 - 2.6.24 vmsplice Local Root Exploit
2008-02-09  Linux Kernel 2.6.17 - 2.6.24.1 vmsplice Local Root Exploit

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464945
Subject: linux-image-2.6.18-6-686: Exploit for vmsplice work for
 linux-image-2.18-5-686 (CVE-2008-0009/10)
Date: Sun, 10 Feb 2008 03:19:20 +0300

$ zcat /usr/share/doc/linux-image-2.6.18-6-686/changelog.Debian.gz | head
linux-2.6 (2.6.18.dfsg.1-18etch1) stable-security; urgency=high
  * bugfix/vmsplice-security.patch
    [SECURITY] Fix missing access check in vmsplice.
    See CVE-2008-0010, CVE-2008-0600
  * bugfix/all/vserver/proc-link-security.patch
    [SECURITY][vserver] Fix access checks for the links in /proc/$pid.
 -- Bastian Blank <waldi at debian.org>  Sun, 10 Feb 2008 18:37:05 +0100

https://bugzilla.redhat.com/show_bug.cgi?id=432229
Comment #10 From Chuck Ebbert  	 on 2008-02-10 22:26 EST
Fixed in:
kernel-2.6.24.1-28.fc9
kernel-2.6.23.15-137.fc8
kernel-2.6.23.15-80.fc7

$ zcat /usr/share/doc/linux-image-2.6.20-16-server/changelog.Debian.gz | head
linux-source-2.6.20 (2.6.20-16.35) feisty-security; urgency=low
  [Tim Gardner]
  * splice: fix user pointer access in get_iovec_page_array()
    (CVE-2008-0600)
    - GIT-SHA 9ba4693de4d2e7da123589c3e592ea08eaf9e575
 -- Tim Gardner <tim.gardner at canonical.com>  Mon, 11 Feb 2008 09:48:22 -0700

Ça tient donc dans un mouchoir de poche large de 4heures environ entre
Debian, Fedora et Ubuntu ... je me suis pas amusé à chercher pour les
autres.

Enfin soit, ça fait 48heures après l'annonce publique et 24heures après
la parution d'un premier PoC, je trouve ça encore pas trop mal...

-- 
Rémi Laurent

GPG Key ID/Fingerprint:
    1024D/0FA00601 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 189 octets
Desc: Digital signature
URL: </pipermail/linux-bruxelles/attachments/20080217/888759dd/attachment-0001.sig>


Plus d'informations sur la liste de diffusion Linux-bruxelles