Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2362-1 acpid

Debians sikkerhedsbulletin

DSA-2362-1 acpid -- flere sårbarheder

Rapporteret den:

10. dec 2011

Berørte pakker:

acpid

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2011-1159, CVE-2011-2777, CVE-2011-4578.

Yderligere oplysninger:

Flere sårbarheder blev fundet i ACPI Daemon, Advanced Configuration and Power Interface-begivenhedsdæmonen:

• CVE-2011-1159

  Vasiliy Kulikov fra OpenWall opdagede, at sockethåndteringen var sårbar over for lammelsesangreb (denial of service).

• CVE-2011-2777

  Oliver-Tobias Ripka opdagede at ukorrekt proceshåndtering i det Debian-specifikke skript powerbtn.sh kunne føre til lokal rettighedsforøgelse. Problemer påvirker ikke den gamle stabile distribution. Skriptet leveres kun som et eksmpel i /usr/share/doc/acpid/examples. Se /usr/share/doc/acpid/README.Debian for flere oplysninger.

• CVE-2011-4578

  Helmut Grohne og Michael Biebl opdagede, at acpid opsatte en umask til 0, når der udføres skripter, hvilket kunne medføre lokal rettighedsforøgelse.

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.0.8-1lenny4.

I den stabile distribution (squeeze), er dette problem rettet i version 1:2.0.7-1squeeze3.

I den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine acpid-pakker.