Kürzlich wurden zwei schwerwiegende Sicherheitslücken innerhalb des Linux Kernel bekannt, die beide sowohl gleiche Auswirkungen haben, als auch beide innerhalb des vmsplice() System Call existieren. Der vmsplice() System Call wurde in Linux 2.6.17 neu aufgenommen. Es gibt keine Konfigurationsoption um vmsplice() zu deaktivieren.

Die erste Sicherheitslücke wurde (unbewusst) in Linux Kernel 2.6.23 hinzugefügt. Linux Kernel 2.6.22 und älter sind für den ersten Exploit nicht angreifbar. Dieses Problem wurde in Linux 2.6.23.15 und Linux 2.6.24.1 behoben, dem Problem wurden die Kennungen CVE-2008-0009 und CVE-2008-0010 zugewiesen.

Die zweite Sicherheitslücke ist gravierender, sie besteht seit Aufnahme von vmsplice() in den Linux Kernel, so dass jeder Kernel von Version 2.6.17 an aufwärts betroffen ist. Dieses Problem wurde in den Linux Kernel Versionen 2.6.24.2, 2.6.23.16 und 2.6.22.18 behoben, zugewiesen wurde die Kennung CVE-2008-0600.

=gentoo-sources-2.6.23-r8 und =gentoo-sources-2.6.24-r2 beinhalten die Korrekturen für beide Schwachstellen und sind daher sicher gegen alle derzeit bekannten vmsplice-Exploits. Da es sich um erhebliche Schwachstellen handelt (lokale Privilegeneskalation), raten wir allen Benutzern dringend, schnellstmöglich auf die derzeit aktuellste verfügbare Version der gentoo-sources zu aktualisieren.

Benutzer eines Gentoo/Hardened Systems und hardened-sources Patchset mit aktivierten GRsecurity/PaX-Funktionen (speziell KERNEXEC und UDEREF) sollten nicht in dem Ausmaß betroffen sein - die Erlangung von root-Privilegien wird verhindert, jedoch führen die bekannten Exploits zu einem DoS, der nach einem vielfachem Aufruf der Exploits zu einem Systemstillstand führen kann.

Wichtig: Für Kernel-Source Pakete gibt das Gentoo Security Team keine Sicherheitsannouncements heraus, so dass Sie zwingend die jeweils aktuellsten verfügbaren Kernel-Sourcen Pakete nutzen sollten und die einschlägigen Mailinglisten und Newsticker im Auge behalten sollten.