• [^] # Re: DSA 1927-1: New Linux 2.6.26 packages fix several vulnerabilities

    Posté par . En réponse à la dépêche Faille locale dans les fonctions pipe_*_open() du noyau Linux. Évalué à 2.

    Oui mais non.

    D'abord, je n'utilise pas, en temps normal, les noyaux précompilés par Debian ; ensuite, comme je le précisais dans mon commentaire précédent, la faille a été fixée depuis la publication des sources patchées en 2.6.26-19lenny1.

    Soit, d'après le changelog Debian:

    linux-2.6 (2.6.26-19lenny1) stable-security; urgency=high

    [...]
    * selinux: prevent local users from bypassing mmap_min_addr
    in unconfined domains (CVE-2009-2695)
    [...]

    -- dann frazier <dannf@debian.org> 2009年10月17日 10:52:13 -0600


    En vue de corriger le problème ci-dessus, la valeur mmap_min_addr a depuis été fixée à 4096 par défaut. En d'autres termes, cela implique que les personnes ayant compilé leur propre noyau à partir de cette version des sources (depuis le 20 octobre environ) ne sont pas impactés par la présente faille, même s'ils n'ont pas mis à jour leur système récemment ; voilà.

    THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.