Информация по безопасности / 2011 / Информация о безопасности -- DSA-2362-1 acpid

Рекомендация Debian по безопасности

DSA-2362-1 acpid -- несколько уязвимостей

Дата сообщения:

10.12.2011

Затронутые пакеты:

acpid

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-1159, CVE-2011-2777, CVE-2011-4578.

Более подробная информация:

В службе ACPI, службе событий усовершенствованного интерфейса управления конфигурацией и питанием, были обнаружены многочисленные уязвимости:

• CVE-2011-1159

  Василий Куликов из OpenWall обнаружил, что обработка сокетов уязвима к отказу в обслуживании.

• CVE-2011-2777

  Оливье-Тобиас Рипка обнаружил, что некорректная обработка процессов в сценарии powerbtn.sh (специально для Debian) может приводить к локальному повышению привилегий. Эта проблема не касается предыдущего стабильного выпуска. Этот сценарий поставляется в качестве примера в каталоге /usr/share/doc/acpid/examples. Подробности ищите в файле /usr/share/doc/acpid/README.Debian.

• CVE-2011-4578

  Гельмут Гроне и Михаэль Библь обнаружили, что acpid устанавливает маску со значением 0 при выполнении сценариев, что может приводить к локальному повышению привилегий.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.0.8-1lenny4.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1:2.0.7-1squeeze3.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакеты acpid.