セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2362-1 acpid

Debian セキュリティ勧告

DSA-2362-1 acpid -- 複数の脆弱性

報告日時:

2011-12-10

影響を受けるパッケージ:

acpid

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2011-1159, CVE-2011-2777, CVE-2011-4578.

詳細:

the Advanced Configuration and Power Interface イベントデーモン acpid に複数の欠陥が発見されました。

• CVE-2011-1159

  OpenWall の Vasiliy Kulikov さんにより、ソケット処理でサービス拒 否攻撃を許すことが発見されました。

• CVE-2011-2777

  Oliver-Tobias Ripka さんにより、Debian 固有の powerbtn.sh スクリ プトでプロセス処理を誤っているため、ローカルでの特権昇格に繋がる ことが発見されました。この欠陥は旧安定版には存在しません。スクリ プトは設定例として /usr/share/doc/acpid/examples に収録されている ものです。詳細は /usr/share/doc/acpid/README.Debian を参照くださ い。

• CVE-2011-4578

  Helmut Grohne さんと Michael Biebl さんにより、acpid がスクリプト 実行時に umask を 0 にセットしているため、ローカルでの特権昇格が 行えることが発見されました。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.0.8-1lenny4 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1:2.0.7-1squeeze3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く 修正予定です。

直ぐに acpid パッケージをアップグレードすることを勧めます。