Linux2.4系kernelの 2.4.25 以前にroot権限が奪取される欠陥が警告されている。
すでに修正版2.4.26がリリースされているので、アップデートすればよい。CAN-2004-0109は2.5や2.6も影響を受けるとされているので、近々にアップデートされるだろう。
取り敢えず2.4.26にアップデートしたログ。
$ snarf ftp://ftp.ring.gr.jp/archives/linux/kernel.org/kernel/v2.4/linux-2.4.26.tar.bz2
$ bunzip2 -dc linux-2.4.26.tar.bz2 | tar xvf -
$ cp linux-2.4.25/.config linux-2.4.26
$ cd linux-2.4.26
$ make menuconfig
$ make dep clean
$ make bzImage
$ make modules
$ sudo make modules_install
$ sudo mv arch/i386/boot/bzImage /boot/vmlinuz-2.4.26
$ sudo mv System.map /boot/System.map-2.4.26
$ sudo /sbin/mkinitrd /boot/initrd-2.4.26.img 2.4.26
【参照】
●日本の Linux 情報 http://www.linux.or.jp/
●Common Vulnerabilities and Exposures http://cve.mitre.org/
┣CAN-2004-0003:(Unknown vulnerability, related to "R128 DRI limits checking.") 2004年1月15日
┣CAN-2004-0010:(Stack-based buffer overflow in the ncp_lookup function for ncpfs) 2004年1月15日
┣CAN-2004-0109:(Buffer overflow in the ISO9660 file system) 2004年2月2日
┣CAN-2004-0177:(The ext3 code in Linux 2.4.x does not properly initialize journal descriptor blocks) 2004年2月25日
┗CAN-2004-0178:(Unknown vulnerability in the OSS code for the Sound Blaster driver) 2004年2月25日
●The Linux Kernel Archives http://kernel.org/
┣Ring ftp mirror ftp://ftp.ring.gr.jp/archives/linux/kernel.org/kernel/v2.4/
┗asahi-net http mirror http://www.asahi-net.lkams.kernel.org/pub/linux/kernel/v2.4/