Aviso de seguridad del equipo debian DSA 1636-1

Han sido descubiertas varias vulnerabilidades en el kernel Linux que podrían provocar un DoS o fugas de información sensible. Las vulnerabilidades mas comunes y sus riegos identifican los siguientes problemas:

CVE-2008-3272

Tobias Klein reportó una fuga de datos localmente explotable en la función snd_seq_oss_synth_make_info(). Esto podría permitir a usuarios locales ganar acceso a información sensible.

CVE-2008-3275

Zoltan Sogor descubrió un error de código en VFS que permite a usuarios locales explotar una fuga de información en la memoria del kernel, resultando en una denegación de servicio.

CVE-2008-3276

Eugene Teo reportó un desbordamiento en el subsistema DCCP que podría permitir a atacantes remotos causar un DoS en forma de kernel panic.

CVE-2008-3526

Eugene Teo reportó un chequéo de límite desaparecido en el subsistema SCTP. Explotando un desbordamiento en el código SCTP_AUTH_KEY, atacantes remotos podrían causar un DoS por un kernel panic.

CVE-2008-3534

Kel Modderman reportó un fallo en el sistema de ficheros tmpfs que permite a usuarios locales colgar un sistema.

CVE-2008-3535

Alexey Dobriyan descubrió un “off-by-one-error” en la función iov_iter_advance, la cual puede ser explotada por usuarios locales para colgar el sistema, resultando un DoS.

CVE-2008-3792

Vlad Yasevich reportó varios punteros nulos de referencia en el subsistema SCTP que podría permitir meter codigos sctp-auth cuando la funcionabilidad AUTH está inactiva. Esto podría permitir a atacantes realizar un DoS por un panic.

CVE-2008-3915

Johann Dahm y David Richter reportaron un fallo en el subsistema nfsd, que podría permitir a atacantes remotos realizar un Dos por un desbordamiento de buffer.

Para la versión estable (etch), estos problemas han sido resueltos en 2.6.24-6~etchnhalf.5.
Se recomienda su actualización inmediata.