Re: Falha no Kernel Debian 3.0r3
Olá,
Sua afirmação é bastante séria; se você rodou o exploit contra o kernel
2.4.18 ***que veio com o r3*** do Woody e obteve sucesso então isto
precisa ser reportado para o time de segurança do Debian.
Digo isto pois examinando o changelog do kernel encontrei uma referência
(destacada abaixo) a um fix sobre o ptrace (CAN-2003-0501). É este mesmo
bug a que vc se refere ou outro?
-----------------------------
kernel-image-2.4.18-1-i386 (2.4.18-9) stable-security; urgency=high
* Rebuilt against kernel-source 2.4.18-10.
. Made /proc/tty/driver root-only (CAN-2003-0461).
. Fixed exec file handling semantics (CAN-2003-0462, CAN-2003-0476).
. Fixed sunrpc UDP reuse bug in net/sunrpc/svcsock.c
(CAN-2003-0464).
. Fixed unchecked copy_to_user in fs/proc/proc_misc.c.
. Fixed ptrace/proc bug in fs/proc/base.c (CAN-2003-0501).
^^^^^^^^^^^
. Fixed bridging security issues (CAN-2003-055[012]).
. Fixed boundary check in net/core/filter.c.
-----------------------------
O que acontece com o Debian é que quando um pacote contém algum bug de
segurança e este pacote está na distribuição estável, normalmente as
correções, que muitas vezes são liberadas como versões novas do pacote,
são portadas para a versão anterior (back ported) que está na dist.
estável.
Isto ocorre porque a "stable" não pode receber novos pacotes que não
passaram por todo o período de testes até sua liberação -- uma
observação empírica é que novas versões sempre trazem novos bugs.
Na página do Debian tem uma explicação completa sobre o processo de
"estabilização" de uma distribuição.
On Thu, Dec 30, 2004 at 07:01:07AM -0800, Pr0glnx wrote:
> Respondam-me uma coisa:
>
> Est? n?o ? a vers?o est?vel do Debian??
>
>
> http://sft.if.usp.br/debian-cd/3.0_r3/debian-30r3-i386-binary-1.iso
>
> Que ela venha com o kernel 2.4.18, tudo bem, eu
> entendo... mas com uma falha t?o conhecida e comentada
> como a do ptrace.... :-\
>
> Como vou confiar numa vers?o est?vel que ainda tem
> essa falha....
>
> Alguem pode me explicar o que acontece??
respondido acima?
--
Mario O.de Menezes, Ph.D. "Many are the plans in a man's heart, but
LinuxUser: #24626 is the Lord's purpose that prevails" Pv 19.21
http://www.ipen.br/~mario
Reply to: