Ved hjelp av et sikkerhetshull i Linux-kjernen greide en angriper, som allerede hadde tilgang til en server ved Debian-prosjektet, å oppheve rettighetskontrollen i systemet. Angrepet skal ikke ha påvirket kodearkivet til prosjektet, som står bak Linux-distribusjonen med samme navn.
Les også:
- [18.12.2003] Linux 2.6.0 er klar
- [02.12.2003] Linux-basert skjerm-PC selges rimelig
- [26.11.2003] Linux 2.6 ventes i desember
- [19.11.2003] Novell forsinket med .Net for Linux og Unix
- [11.11.2003] IBM klar for gigantisk Linux-utrulling
- [07.11.2003] Avverget forsøk på trojaner i Linux-kjernen
Det er sikkerhetseksperter tilknyttet Red Hat og SuSE som har kommet fram til at sikkerhetshullet som ble benyttet, skyldes en overflytsfeil av heltall i systemkallet brk. Hullet var derimot ikke ukjent for Linux-miljøet, faktisk ble det funnet av Andrew Morton allerede i september. Korrigeringene var ikke blitt implementert i 2.4.22-utgaven av kjernen, mens 2.4.23-utgaven først kom åtte dager etter at innbruddet hadde skjedd. Trolig finnes dette sikkerhetshullet i alle tidligere utgaver av 2.4-utgaven av Linux-kjernen.
Feilen er nå fjernet fra 2.4.23-utgaven og fra kildekoden til testutgavene av den kommende 2.6.0-kjernen. Debian har i tillegg rettet feilen i kildekoden til versjon 2.1.18-12, i versjon 2.4.18-14 for i386 og i versjon 2.4.18-11 for Alpha.
