Un bulletin de sécurité concernant une faille de sécurité présente dans les pilotes audio azalia(4) et hdaudio(4) vient d’être publié.

Toutes les versions de NetBSD encore maintenues jusqu’à NetBSD-current du 21/01/2010 sont affectées mais ont été corrigées depuis.

La cause de la vulnérabilité est un entier considéré à tort comme étant non signé. Un utilisateur ayant accès au mixer audio peut alors spécifier une valeur négative et causer un kernel panic.

Les systèmes vulnérables sont ceux ayant l’un de ces deux pilotes chargé.

Pour corriger le problème, il faut télécharger depuis CVS les sources corrigées du noyau (sys/dev/pci/azalia.c et sys/dev/pci/hdaudio/hdaudio_afg.c suffisent) et le recompiler.

Pour plus de détails, se référer au bulletin de sécurité.