> Я уж из-за маленьких букв в заголовке испугался, что в команду cd
> проникла брешь

Так ясен пень, кто именно виноват:

> II.  Problem Description
>
> To implement one particular ioctl, the Linux emulation code used a special
> interface present in the cd(4) driver which allows it to copy subchannel
> information directly to a kernel address.  This interface was erroneously
> made accessible to userland, allowing users with read access to a cd(4)
> device to arbitrarily overwrite kernel memory when some media is present in
> the device.

Кстати, напомню, что привилегии оператора обычно позволяют читать диски в raw и делать с них дамп напрямую. Т.е. читать любые файлы в обход ФС.
Впрочем, по задумке operator вообще-то должен решать (не слишком выжные, но все же) административные задачи.

Ну а вообще там еще одна дырень -- с сидюка можно забутить линукс и сделать dd if=/dev/zero of=/dev/sda bs=1m! Ну или подкорректировать /etc/master.passwd, хотя тут есть хитрая защита от черезчур резвых пингвинятников в виде плохой поддержки UFS в самом пингвине ))