Paquete : linux-2.6
Vulnerabilidad : denegación de servicio/escalada de privilegios
Tipo de problema : local/remoto
Específico de Debian : no
Id(s) CVE : CVE-2009-1385 CVE-2009-1389 CVE-2009-1630 CVE-2009-1633 CVE-2009-2692

Varias vulnerabilidades han sido descubiertas en el kernel Linux que pueden llevar a una denegación de servicio o escalada de privilegios. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CVE-2009-1385: Neil Norman descubrió la falta de cierta corrección del driver de red e1000. Un usuario remoto puede causar una denegación de servicio por medio de un kernel panic, provocado por un elaborado tamaño de frame.
• CVE-2009-1389: Michael Tokarev descubrió un problema con el driver de red r8169. Usuarios remotos de la misma red pueden causar denegación de servicio mediante un kernel panic, provocado por la recepción de frames de gran tamaño.
• CVE-2009-1630: Frank Filz descubrió que un usuario local puede ejecutar ficheros sin permiso de ejecución cuando son accedidos a través de un montaje nfs4.
• CVE-2009-1633: Jeff Layton y Suresh Jayaraman arreglaron varios desbordamientos de buffer en el sistema de ficheros CIFS que permitían a servidores remotos causar corrupción de memoria.
• CVE-2009-2692: Tavis Ormandy y Julien Tinnes descubrieron un problema acerca de como se inicializa la función sendpage en la estructura proto_ops. Los usuarios locales pueden explotar dicha vulnerabilidad para ganar privilegios.

Para la distribución oldstable (etch), estos problemas han sido resueltos en la versión 2.6.18.dfsg.1-24etch3.

Le recomendamos que actualice los paquetes linux-2.6, fai-kernels y user-mode-linux.

Original (en inglés): http://lists.debian.org/debian-security-announce/2009/msg00182.html