Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2302-1 bcfg2

Säkerhetsbulletin från Debian

DSA-2302-1 bcfg2 -- saknad rengörning av indata

Rapporterat den:

2011-09-07

Berörda paket:

bcfg2

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 640028.
I Mitres CVE-förteckning: CVE-2011-3211.

Ytterligare information:

Det har upptäckts att Bcfg2-servern, en konfigurationshanteringsserver för Bcfg2-klienter inte rengör indata ordentligt från Bcfg2-klienter innan den skickar den till olika skalkommandon. Detta tillåter en angripare som har kontroll över en Bcfg2-klient att köra godtyckliga kommandon på servern med rooträttigheter.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 0.9.5.7-1.1+lenny1.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.0.1-3+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 1.1.2-2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.1.2-2.

Vi rekommenderar att ni uppgraderar era bcfg2-paket.