Disponibilité du noyau 2.4.24

Posté par Sébastien Rohaut le 05 janvier 2004 à 17:08. Modéré par Nÿco.

Étiquettes :

jan.

2004

Si vous n'avez pas migré en noyau 2.6, voici une information qui devrait vous intéresser. Un passage sur le site kernel.org nous informe de la disponibilité immédiate du noyau 2.4.24. Il ne s'agit pas ici d'une évolution majeure de la branche 2.4 mais d'une mise à jour de sécurité. Quoi de neuf ?

Peu de modifications en fait mais une mise à jour de sécurité d'après le Changelog. Deux failles semblent avoir été corrigées : une sur l'appel système mremap() et une autre sur un défaut de /dev/rtc.

À vos téléchargements !

Philippe ajoute :
Linux Kernel "do_mremap" Privilege Escalation Vulnerability
Une nouvelle vulnérabilité critique a été identifiée dans le noyau Linux Kernel, elle pourrait permettre à un attaquant local l'obtention des privilèges root. Cette faille se situe au niveau de l'appel système do_mremap(), utilisé pour la réorganisation, l'accès et le déplacement dans des zones mémoires virtuelles (VMA). Une erreur au niveau de cette fonction mremap, pourrait provoquer la création d'espaces virtuelles vides (une taille de 0 octet au lieu de 4kB sous i386), ce qui pourrait être exploité afin d'exécuter des commandes arbitraires avec l'UID 0 (root).

Les version 2.2, 2.4, et 2.6 sont vulnérables.

Aller plus loin

kernel.org (3 clics)
Changelog (1 clic)
Linux Kernel "do_mremap" Vulnerability (2 clics)

# Re: Disponibilité du noyau 2.4.24

Posté par Matthieu BENOIST le 05 janvier 2004 à 17:12. Évalué à 3.

cf journal http://linuxfr.org/~zyglotron/8137.html(...)
à noter qu'il ne semble pas y avoir le support pour xfs.
- [^] # Re: Disponibilité du noyau 2.4.24
  
  Posté par Laurent Mazet (site web personnel) le 05 janvier 2004 à 17:18. Évalué à 10.
  
  Xfs a ete reporte au 2.4.25pre pour cause de trous de securite
  
  http://marc.theaimsgroup.com/?l=linux-kernel&m=107330986430712&(...)
# L'annonce de la faille de sécurité

Posté par Frédéric Massot (site web personnel) le 05 janvier 2004 à 17:16. Évalué à 10.

Vous trouverez l'annonce de la faille de sécurité à cette adresse :

http://isec.pl/vulnerabilities/isec-0013-mremap.txt(...)
- [^] # Re: L'annonce de la faille de sécurité
  
  Posté par BillyTheKid le 05 janvier 2004 à 17:59. Évalué à 10.
  
  et voici le bulletin/advisory français :
  
  http://www.k-otik.net/bugtraq/01.05.kernel.php(...)
  
  -
  - [^] # Re: L'annonce de la faille de sécurité
    
    Posté par degeu raoul ⭐ (Mastodon) le 05 janvier 2004 à 20:23. Évalué à 2.
    
    Comment cela se fait il que Redhat assure encore les Mises a jours des distribs < redhat 8? ca devait pas stopper en décembre 2003 ou j'ai loupé un épisode ?
    - [^] # Re: L'annonce de la faille de sécurité
      
      Posté par anonyme512 le 05 janvier 2004 à 23:39. Évalué à 3.
      
      en effet, c'est pour les redhat <=8.0 que les maj s'arretent fin décembre.
      mais l'alerte redhat date d'avant le 31 (daté 2003 et non 2004), ainsi que l'alerte du CVE.
      
      voir ici:
      https://rhn.redhat.com/errata/RHSA-2003-417.html(...)
      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0985(...)
- [^] # Re: L'annonce de la faille de sécurité
  
  Posté par Mathieu Pillard (site web personnel) le 05 janvier 2004 à 18:40. Évalué à 10.
  
  Au passage la news est trompeuse, si on est en 2.6 ca peut aussi nous interesser vu que la faille concerne aussi les noyaux 2.6 a priori...
  - [^] # Re: L'annonce de la faille de sécurité
    
    Posté par BillyTheKid le 05 janvier 2004 à 19:42. Évalué à 6.
    
    exact ! sur l'alerte de k-otik on peut voir :
    
    * Versions Vulnérables *
    ----------------------------
    Linux Kernel 2.2.x
    Linux Kernel 2.4.x
    Linux Kernel 2.6.x
    
    l'equipe linuxfr, merci de modifier votre news :-)
    - [^] # Re: L'annonce de la faille de sécurité
      
      Posté par Edouard Gomez (site web personnel) le 05 janvier 2004 à 19:59. Évalué à 10.
      
      J'ai regardé le code du noyau 2.6 vs 2.4, cette fonction n'a pas changé pour la portion concerné... donc en attendant un nouveau 2.6, on peut toujours appliquer un patch a la main (2 lignes utiles):
      http://linux.bkbits.net:8080/linux-2.4/diffs/mm/mremap.c@1.7?nav=in(...)
      - [^] # Re: L'annonce de la faille de sécurité
        
        Posté par M le 05 janvier 2004 à 20:14. Évalué à 4.
        
        le patch est deja dans la version en developpement du 2.6
        cf le mail de linus
        http://www.ussg.iu.edu/hypermail/linux/kernel/0401.0/0973.html(...) &
        http://www.ussg.iu.edu/hypermail/linux/kernel/0401.0/1019.html(...)
        
        [^] # Re: L'annonce de la faille de sécurité
        
        Posté par Edouard Gomez (site web personnel) le 05 janvier 2004 à 21:01. Évalué à 6.
        
        Bizzare Bizzare, je le vois pas sur la gateway BitKeeper apres le 2.6.1-rc1. D'ou le lien proposé vers le patch 2.4. Enfin c'est pas bien grave :-)
        
        Pour ceux qui conaitraient pas, on peut suivre ce que linus applique comme patchs ici:
        http://linux.bkbits.net:8080/linux-2.5(...)
        
        [^] # Re: L'annonce de la faille de sécurité
        
        Posté par Jean-Yves LENHOF (site web personnel) le 05 janvier 2004 à 22:51. Évalué à 3.
        
        Il arrive que celui-ci déconne.... dans ce cas (comme aujourd'hui) il y a une autre machine....
        
        http://linus.bkbits.net:8080/linux-2.5(...)
        
        Just my 0.02
      - [^] # Patch différent entre 2.4 et 2.6 ?
        
        Posté par ThE_TemPLaR le 07 janvier 2004 à 09:34. Évalué à 1.
        
        C'est moi ou le patch a changé dans le 2.6 :
        http://www.kernel.org/diff/diffview.cgi?file=%2Fpub%2Flinux%2Fkerne(...)
    - [^] # Re: L'annonce de la faille de sécurité
      
      Posté par Nÿco (site web personnel) le 05 janvier 2004 à 20:20. Évalué à 2.
      
      Précision importante effectivement, corrigé, merci.
    - [^] # Re: L'annonce de la faille de sécurité
      
      Posté par Pierre Pronchery (site web personnel) le 07 janvier 2004 à 01:14. Évalué à 3.
      
      From: Paul Starzetz <ihaquer@isec.pl>
      our initial posting contains a mistake about the vulnerability of the 2.2
      kernel series. Since the 2.2 kernel series doesn't support the
      MREMAP_FIXED flag it is NOT vulnerable. The source states
      "MREMAP_FIXED option added 5-Dec-1999" but it didn't make into recent
      2.2.x.
      
      Il y a eu une erreur a propos de la branche kernel 2.2: elle n'est pas vulnerable.
      Tout n'est pas perdu :)
      khorben
# Re: Disponibilité du noyau 2.4.24

Posté par franckladit le 05 janvier 2004 à 17:21. Évalué à 3.

On passe en fait sa vie à recompiler... ;(
- [^] # Y 'en a vraiment qui exagère !
  
  Posté par TyrandO le 05 janvier 2004 à 17:26. Évalué à 5.
  
  Vous vous rendez compte ?
  Cette nouvelle version sort juste après que je compilasse le 2.4.23 avec le patch grsecurity !
  cf http://linuxfr.org/~TyrandO/8117.html(...)
  Alors je dis : la vie est pô juste !!! Non, vraiment pas !!!
- [^] # Re: Disponibilité du noyau 2.4.24
  
  Posté par Damien le 05 janvier 2004 à 17:52. Évalué à 9.
  
  linux-2.4.23.tar.sign 28-Nov-2003 10:26
  linux-2.4.24.tar.bz2 05-Jan-2004 05:54
  
  Ben dites donc, si vous passez plus d'un mois a compiler votre noyau, faudra upgrader vos machines ;)
  
  -> ()
  - [^] # Re: Disponibilité du noyau 2.4.24
    
    Posté par Prae le 05 janvier 2004 à 17:57. Évalué à -1.
    
    Ca va niquer mon bel uptime :(
    snif... snif ...
    a quand le switch de kernel à chaud :P
    - [^] # Re: Disponibilité du noyau 2.4.24
      
      Posté par free2.org le 05 janvier 2004 à 18:13. Évalué à 8.
      
      tu peux deja recompiler des modules pour les upgrader à chaud
      - [^] # Re: Disponibilité du noyau 2.4.24
        
        Posté par Raphaël SurcouF (site web personnel) le 05 janvier 2004 à 18:20. Évalué à 6.
        
        Presque tous... CONFIG_SCSI ou CONFIG_USB, c'est déjà plus coton.
    - [^] # Re: Disponibilité du noyau 2.4.24
      
      Posté par Whoo (site web personnel) le 05 janvier 2004 à 22:31. Évalué à 0.
      
      Oui et a quand le kernel sans bug .... :(
      Les pro secu vont encore se moquer de nous ... sniff.
      linux / linux / linux
  - [^] # Re: Disponibilité du noyau 2.4.24
    
    Posté par Raphaël SurcouF (site web personnel) le 05 janvier 2004 à 18:21. Évalué à 2.
    
    Ben, j'venais d'apt-get install le tout nouveau kernel-image-2.4.23-1-k7...
    Alors, tu vois, c'est amende honorable que de mettre qu'un mois pour compiler ;-)
# Et Linux n'y a pas droit non plus à la première page ?

Posté par Raphaël SurcouF (site web personnel) le 05 janvier 2004 à 18:18. Évalué à 10.

De mieux en mieux...
Non seulement, il s'agit d'une mise à jour officielle et pas une béta,
mais en plus, il y a une correction de bug importante là...
On est bien sur linuxfr.org, non ? Pourquoi est-ce en seconde page ?
- [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
  
  Posté par drac le 05 janvier 2004 à 19:15. Évalué à 4.
  
  Je suis assez d'accord avec toi, l'infos est plus importante à mes yeux qu'un "Brevet logiciel: ou en est ton?" où l'on apprend rien de nouveau. Mon avis est que si cette dépêches est en seconde page cela vient peut être de la longueur du texte.
  - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
    
    Posté par Dais Starry le 06 janvier 2004 à 01:21. Évalué à 0.
    
    Pas d'accord .. le fait que rien de nouveau n'arrive dans la "grande épopée des brevets logiciels" ne veut surtout pas dire qu'il ne faut plus en parler, c'est le meilleur moyen pour que des propositions non voulues soient votées en douce.
    
    Néanmoins, je considère quand même que la nouvelle version du noyau (correction importante) aurait dû apparaître en 1ere page en effet.
    - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
      
      Posté par Dais Starry le 06 janvier 2004 à 01:27. Évalué à 2.
      
      Correction: "Néanmoins, je considère quand même que la nouvelle version du noyau (correction importante) a sa place en 1ere page en effet (et qu'elle y reste :p)
- [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
  
  Posté par Nÿco (site web personnel) le 05 janvier 2004 à 19:40. Évalué à 3.
  
  Sur le fonds, tu as sans doute raison quoique ce ne soit pas argumenté.
  Par contre sur la forme et le ton, tu repasseras.
  Quoiqu'il en soit, c'est corrigé.
  Merci.
  - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
    
    Posté par Vincent (site web personnel) le 06 janvier 2004 à 00:15. Évalué à -2.
    
    Je crois que cette personne souligne un leger mécontentement de la part de pas mal de visiteurs du site, qui semblent trouver un certains manque de réactivité dans la modération des news.
    Zont qu'a aller sur shlashdot !
    - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
      
      Posté par drac le 06 janvier 2004 à 02:33. Évalué à 2.
      
      D'après toi combien de pourcent des lecteurs de DLFP ne lisent pas /. ?
      Il suffit de voir des fois les news de DLFP ressemble à celle de /. avec un peu de retard ;)
      
      Il en est pas mois que DLFP est un site sur les logiciels libres et linux, et que c'est un des site francophone sur ce sujet qui bouge le plus, c'est pourquoi les gens continuent et à mon avis continueront à le lire (et y contribuer)
      - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
        
        Posté par Vincent (site web personnel) le 06 janvier 2004 à 03:01. Évalué à -1.
        
        D'après toi combien de pourcent des lecteurs de DLFP ne lisent pas /. ?
        Aucune idée.
        Une chose est sûr DLFP n'est pas /. La ligne editoriale est totalement différente (ainsi que l'ambiance).
        Beaucoup de News sont postées dans les journeaux et envoyées en même temps aux moderos (qui du coup n'ont plus besoin d'aller sur /.).
        Beaucoup de news passent à la trappe aussi. Tant mieux. Il semble que c'est la qualité et pas la quantité qui compte ici.
        
        Plus que les news, les commentaires se révèlent très souvent riches en avis, expériences, infos, liens.
        Je soulignais juste le fait que pas mal de post se plaignent d'un manque de rapidité dans la modération, moi aussi ça m'embête un peu des fois de pas voir une seule news de la journée, mais les journeaux sont là pour ça (ou alors pas?)
        Enfin bref, il est tard je suis même plus sûr d'être d'accord avec ce que je vient de dire demain (à quand la possibilité de se moinsser tout seul?)
      - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
        
        Posté par Eric Boulat le 06 janvier 2004 à 09:23. Évalué à 2.
        
        D'après toi combien de pourcent des lecteurs de DLFP ne lisent pas /. ?
        
        Voila une idée de sondage qu'elle est bonne !
        Lisez vous slashdot.com ?
        1 Oui !!!!!!
        2 Non linuxfr.org c'est trop bien !
        3 Non je ne comprends pas l'anglais
        4 Non je ne connaissais pas ;-)
        
        [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
        
        Posté par Raphaël SurcouF (site web personnel) le 06 janvier 2004 à 10:17. Évalué à 1.
        
        Petite correction: slashdot.org ;-)
        
        [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
        
        Posté par calandoa le 06 janvier 2004 à 11:15. Évalué à 1.
        
        Tiens c'est marrant j'avais cru y voir de la pub...
    - [^] # Re: Et Linux n'y a pas droit non plus à la première page ?
      
      Posté par Raphaël SurcouF (site web personnel) le 06 janvier 2004 à 08:58. Évalué à 1.
      
      Ce n'est pas tant un manque de réactivité qu'une ligne éditoriale claire, précise et surtout cohérente d'une dépêche à l'autre...
      Un jour, on nous dit que seules les sorties officielles (comprendre version ni alpha, ni beta, ni RC, ni test, etc...) étaient dignes d'une première page.
      Le second jour, un logiciel plébicisté passe outre cette "règle" et un autre, bien plus important à mes yeux, n'y a pas droit.
      On y perd un peu son Perl, à force...
      Je n'ai pas envie de lire /. ni trier les journaux mais je suis obligé de lire la seconde page autant que la première.
# Re: Disponibilité du noyau 2.4.24

Posté par Tim le 05 janvier 2004 à 19:17. Évalué à -2.

J'ai installer le 2.4.23 de ma debian hier :(
Menfin, il pouvait pas prévenir ?!
# Re: Disponibilité du noyau 2.4.24

Posté par Tutur le 05 janvier 2004 à 19:38. Évalué à 0.

Allez plus qu'un numéro et il y aura autant de version de 2.4 que de 2.2. Franchement, le travail sur le noyeau, c'est plus ce que c'etait avant.
- [^] # Re: Disponibilité du noyau 2.4.24
  
  Posté par reno le 05 janvier 2004 à 20:33. Évalué à 3.
  
  Bof! La vulnérabilité était aussi présente dans les noyeaux 2.2, alors les "c'était mieux avant"..
  
  Ou alors tu fait reference a l'antiquité, 2.0 et avant?
  
  Ceci dit, je trouve que Marcelo Tosatti a bien joué sur ce coup la: il n'y a pas longtemps, il s'était fait incendié (avec raison AMHA) parce qu'il avait trainé à sortir un noyau avec une mise à jour de sécurité, la c'est le noyeau 2.4 qui sort en premier avec le correctif :-)
- [^] # Re: Disponibilité du noyau 2.4.24
  
  Posté par Da Scritch (site web personnel, Mastodon) le 05 janvier 2004 à 21:21. Évalué à 3.
  
  Une bonne licence d'un grand-père barbu vaudra toujours mieux que les confitures des grands-mères à moustaches.
  
  Happy Birthday GNU Project ! http://www.theinquirer.net/?article=13398(...)
  
  (et je m'étonne qu'il n'y ai toujours pas de dépêche d'anniv...)
- [^] # Re: Disponibilité du noyau 2.4.24
  
  Posté par Serge Rossi (site web personnel) le 05 janvier 2004 à 23:45. Évalué à 2.
  
  Oui c'est vrai, avant, on avait le 2.0.39 :-)
# Et toujours le bug du module e1000 !!!!

Posté par rycks le 05 janvier 2004 à 19:44. Évalué à 3.

Et toujours impossible pour moi d'upgrader :(((

La raison est simple: le support des cartes e1000 est foireux, comme expliqué sur le bugzilla du kernel:

http://bugzilla.kernel.org/show_bug.cgi?id=1674(...)

Donc on a un kernel foireux mais impossible de le mettre à jour tout simplement pasque si je le fais je n'ai plus de réseau (super un serveur sans réseau) !!

Là sur le coup c'est vraiment pas glop,

Éric
eric.linuxfr@sud-ouest.org
- [^] # Re: Et toujours le bug du module e1000 !!!!
  
  Posté par Sébastien Rohaut le 05 janvier 2004 à 20:13. Évalué à 7.
  
  Ah ?
  
  J'ai une e1000. Noyau 2.4.23 fraichement compilé (bah oui, que voulez-vous ...) avec le support e1000 en module.
  Dans mon /etc/modules.conf j'ai un alias eth0 e1000
  
  Tout ça marche à la perfection. Mais je n'ai pas compilé le support e1000 en "dur".
  
  Vous avez vu la taille du patch 2.4.24 ? 2.75 ko ! Youpi !
- [^] # Re: Et toujours le bug du module e1000 !!!!
  
  Posté par free2.org le 05 janvier 2004 à 20:18. Évalué à 2.
  
  à défaut de corriger ce bug (diff ?) essaye les noyaux des distribs qui backportent les security fixes sur d'anciennes versions du noyau
- [^] # Re: Et toujours le bug du module e1000 !!!!
  
  Posté par FRLinux (site web personnel) le 06 janvier 2004 à 02:30. Évalué à 1.
  
  Ceci dit noapic en ligne de demarrage de ton kernel a regle le probleme pour moi.
  
  Steph
- [^] # Re: Et toujours le bug du module e1000 !!!!
  
  Posté par Yohann (site web personnel) le 06 janvier 2004 à 15:00. Évalué à 3.
  
  (super un serveur sans réseau) !!
  
  Pas pratique, mais 'hachement secure...
  
  On a pourtant insisté, c'est mise à jour de sécurité :^)
  - [^] # Re: Et toujours le bug du module e1000 !!!!
    
    Posté par KaZeKaMi (site web personnel) le 06 janvier 2004 à 15:20. Évalué à 1.
    
    moui et encore si quelqu'un a un accès physique à la machine ton serveur peut être compromis ^^
- [^] # Re: Et toujours le bug du module e1000 !!!!
  
  Posté par Zut le 06 janvier 2004 à 15:34. Évalué à 1.
  
  moi j'ai une e100 ... c'est pour cela que j'ai dû installer le 2.4.20 il y a qqs mois, c'était le premier noyau qui la supportait. Puis-je passer à la 2.4.24 ou est-ce que je risque le même problème que la e1000 ?
  merci pur l'info !
  Accessoirement, est-ce que je pourrais me contenter les 2 lignes de patch mentionnées + haut ( dans l'autre tread sur la 2.6... ) ?
  - [^] # Re: Et toujours le bug du module e1000 !!!!
    
    Posté par FRLinux (site web personnel) le 06 janvier 2004 à 20:25. Évalué à 1.
    
    euh la e100 est supportee depuis des annees, tu dois confondre ...
    
    Steph
    - [^] # Re: Et toujours le bug du module e1000 !!!!
      
      Posté par Zut le 12 janvier 2004 à 11:57. Évalué à 1.
      
      >>> euh la e100 est supportee depuis des annees, tu dois confondre ...
      
      En fait je me suis mal exprimé: la "variante de e100 ( directement incorporée à une carte-mère ASUS )" que j'ai était supportée AUPARAVANT par des manipulations compliquées MAL expliquées par Intel... et qui ne marchaient PAS sur mon PC... Le noyau 2.4.20 était BIEN LE PREMIER à la supporter SANS PROBLEME ni supplément à trouver et à retripoter, simplement en la sélectionnant dans la liste.
      J'ai peur de devoir recommencer toutes ces misères ( 2 mois d'essais infructueux! ), alors je préfère m'informer d'abord...
      
      Merci pour ta contribution qui m'a obligé à être plus explicite, réduisant donc le risque d'une réponse non appropriée à mon problème
      
      Patrick
# noyau Linux Kernel

Posté par TazForEver le 05 janvier 2004 à 21:55. Évalué à -5.

sans déconner !
# Qui est Marcello Tosatti ?

Posté par TazForEver le 05 janvier 2004 à 21:59. Évalué à 6.

le voici dans une récente interview -> http://kerneltrap.org/node/view/1880(...) <-
# Re: Disponibilité du noyau 2.4.24

Posté par Rastaman le 07 janvier 2004 à 01:12. Évalué à 1.

Pour ceux qui sont concernés, sachez que depuis le 2.4.23 et aussi dans le 2.6 est dispo le pilote des cartes réseau NVidia des NForce2 (CM Asus A7N8X pour le cas que je connais).

Plus besoin d'utiliser le driver fermé nvnet, le driver GPL obtenu par ingéniérie inverse est forcedeth
- [^] # Re: Disponibilité du noyau 2.4.24
  
  Posté par ThE_TemPLaR le 07 janvier 2004 à 09:30. Évalué à 1.
  
  Est-il aussi performant que le driver binaire ?
  - [^] # Re: Disponibilité du noyau 2.4.24
    
    Posté par Tony Cheneau (site web personnel) le 07 janvier 2004 à 22:04. Évalué à 1.
    
    Pour ma propre expérience, sur un 2.4.23 + forcedeth sur une abit NFS7-S, je n'ai que des avantages, je pense que le module doit être quasi stable à l'heure actuelle.
    Je m'explique, avant le driver nvnet freezait la machine 3 secondes quand je faisais un ifconfig eth0 up, maintenant, c'est instantanné (comme sur tout bon module qui se respecte). En ce qui concerne le ping, il est toujours aussi bon, et le transfert réseau est on ne peut plus excellent. Dernièrement, en transferrrant des fichiers par ftp, j'ai obtenu une moyenne de 10mo/sec ce qui, à mon gout, est très très correct.
    Donc, en résumé, un très bon module libre pour faire tourner le chip réseau de nforce2, que du bon, et même bien meilleur que le module pripriétaire de chez nvidia

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.