Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2302-1 bcfg2

Debians sikkerhedsbulletin

DSA-2302-1 bcfg2 -- manglende fornuftighedskontrol af inddata

Rapporteret den:

7. sep 2011

Berørte pakker:

bcfg2

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 640028.
I Mitres CVE-ordbog: CVE-2011-3211.

Yderligere oplysninger:

Man opdagede at Bcfg2-server, en server til håndtering af opsætning af Bcfg2-klienter, ikke på korrekt vis fornuftighedskontrollerede inddata fra Bcfg2-klienter før de blev leveret til forskellige shellkommandoer. Dermed var det muligt for en angriber, med kontrol over en Bcfg2-klient, at udføre vilkårlige kommandoer på serveren med root-rettigheder.

I den gamle stabile distribution (lenny), er dette problem rettet i version 0.9.5.7-1.1+lenny1.

I den stabile distribution (squeeze), er dette problem rettet i version 1.0.1-3+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 1.1.2-2.

I den ustabile distribution (sid), er dette problem rettet i version 1.1.2-2.

Vi anbefaler at du opgraderer dine bcfg2-pakker.