Fecha del reporte: 16 de mar de 2010

Paquetes afectados: drbd8

Más información: Una vulnerabilidad local ha sido descubierta en drbd8.

Philipp Reisner arreglo un problema en el módulo del núcleo drbd que permite a usuarios locales enviar paquetes netlink para realizar acciones que deberían estar restringidas a usuarios con privilegios CAP_SYS_ADMIN. Este es un problema similar al descripto por CVE-2009-3725.

Esta actualización también arregla un problema de compactibilidad ABI que fue introducido por linux-2.6 (2.6.26-21lenny3). Los paquetes preconstruidos del módulo drbd listados en este aviso requieren paquete linux-image versión 2.6.26-21lenny3 o superior.

Para la distribución estable (lenny), este problema ha sido arreglado en drbd8 (2:8.0.14-2+lenny1).

Le recomendamos actualizar sus paquetes drbd8.

El paquete linux-modules-extra-2.6 ha sido reconstruido contra el paquete drbd8 actualizado para proveer paquetes drbd8-modules preconstruidos. Si, en lugar de usar los paquetes drbd8-modules preconstruidos, ha construido e instalado una copia local del módulo drbd desde el paquete fuente drbd8-source(e.g., usando module-assistant), deberá seguir los mismos pasos que siguió originalmente para reconstruir su modulo luego de actualizar el paquete drbd8-source.

Nota: Después de actualizar un módulo del núcleo debe recargar el módulo para que los cambios tomen efecto:

1. Finalizar los servicios que hagan uso del módulo drbd
2. Descargar el módulo drbd previo (modprobe -r drbd)
3. Cargar el módulo drbd actualizado (modprobe drbd)
4. Reiniciar cualquier servicio que haga uso del módulo drbd

Un reinicio del sistema también hará que el módulo actualizado sea usado.

Original (en inglés): http://lists.debian.org/debian-security-announce/2010/msg00057.html