Уязвимость в Udev, позволяющая получить Root-привилегии

[turbo]

В коде подсистемы udev найдены две уязвимости в настоящее время подтвержденные во всех поддерживаемых версиях Debian, Fedora и Ubuntu (в ближайшее время ожидается выпуск обновления для SUSE, Mandriva и других дистрибутивов):

    * Локальный злоумышленник может получить привилегии суперпользователя, отправив к udev специально оформленное netlink-сообщение с запросом на создание доступного всем пользователям на запись /dev файла, дублирующего уже существующее блочное устройство (например, корневого раздела ФС);
    * Целочисленное переполнение в утилите для передачи управляющих команд к udev позволяет через передачу специально оформленных аргументов вызвать отказ в обслуживании подсистемы udev и теоретически выполнить свой код с повышенными привилегиями.

http://www.opennet.ru/opennews/art.shtml?num=21291