セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2302-1 bcfg2

Debian セキュリティ勧告

DSA-2302-1 bcfg2 -- 入力のサニタイズ漏れ

報告日時:

2011-09-07

影響を受けるパッケージ:

bcfg2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 640028.
Mitre の CVE 辞書: CVE-2011-3211.

詳細:

Bcfg2 クライアントの設定管理をおこなう bcfg2 サーバが、bcfg2 クライア ントからの入力をパースしてシェルコマンドを実行する前に適切にサニタイ ズしていないことが発見されました。このため、bcfg2 クライアントを制御 可能な攻撃者から、サーバ上で管理者権限で任意のコマンドを実行可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 0.9.5.7-1.1+lenny1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.0.1-3+squeeze1 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン 1.1.2-2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.1.2-2 で修正されています。

直ぐに bcfg2 パッケージをアップグレードすることを勧めます。