Informations de sécurité / 2011 / Informations sur la sécurité -- DSA-2362-1 acpid

Bulletin d'alerte Debian

DSA-2362-1 acpid -- Plusieurs vulnérabilités

Date du rapport :

10 décembre 2011

Paquets concernés :

acpid

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2011-1159, CVE-2011-2777, CVE-2011-4578.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le démon ACPI, l'interface avancée de configuration et de gestion de l'énergie.

• CVE-2011-1159

  Vasiliy Kulikov d'OpenWall a découvert que le traitement de socket est vulnérable au déni de service.

• CVE-2011-2777

  Oliver-Tobias Ripka a découvert qu'un traitement de processus incorrect dans le script powerbtn.sh spécifique à Debian pourrait conduire à une augmentation de droits locale. Ce problème ne concerne pas oldstable. Le script n'est embarqué que comme exemple dans /usr/share/doc/acpid/examples. Consultez /usr/share/doc/acpid/README.Debian pour plus de précisions.

• CVE-2011-4578

  Helmut Grohne et Michael Biebl ont découvert qu'acpid configure un umask à 0 lors de l'exécution de scripts, ce qui pourrait permettre une augmentation de droits locale.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.0.8-1lenny4.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1:2.0.7-1squeeze3.

Pour la distribution unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets acpid.