Информация по безопасности / 2011 / Информация о безопасности -- DSA-2302-1 bcfg2

Рекомендация Debian по безопасности

DSA-2302-1 bcfg2 -- отсутствие очистки ввода

Дата сообщения:

07.09.2011

Затронутые пакеты:

bcfg2

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 640028.
В каталоге Mitre CVE: CVE-2011-3211.

Более подробная информация:

Было обнаружено, что сервер Bcfg2, сервер управления настройками клиентов Bcfg2, неправильно выполняет очистку входных данных от клиентов Bcfg2 от момента передачи этих данных различным командам командной оболочки. Это позволяет злоумышленнику, управляющему клиентом Bcfg2, выполнять произвольные команды на сервере с правами суперпользователя.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 0.9.5.7-1.1+lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.0.1-3+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 1.1.2-2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.1.2-2.

Рекомендуется обновить пакеты bcfg2.