Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2362-1 acpid

Säkerhetsbulletin från Debian

DSA-2362-1 acpid -- flera sårbarheter

Rapporterat den:

2011-12-10

Berörda paket:

acpid

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2011-1159, CVE-2011-2777, CVE-2011-4578.

Ytterligare information:

Flera sårbarheter har upptäcks i ACPI daemon, Advanced Configuration and Power Interface-händelsedemonen.

• CVE-2011-1159

  Vasiliy Kulikov från OpenWall upptäckte att sockethantering är sårbart för överbelastning.

• CVE-2011-2777

  Oliver-Tobias Ripka upptäckte att felaktig processhantering i Debianspecifika powerbtn.sh-skript kunde leda till lokala utökningar av privilegier. Detta problem påverkar inte den gamla stabila utgåvan. Skriptet skeppas endast som ett exempel i /usr/share/doc/acpid/examples. Se /usr/share/doc/acpid/README.Debian för detaljer.

• CVE-2011-4578

  Helmut Grohne och Michael Biebl upptäckte att acpid sätter en umask till 0 när den kör skript, vilket kunde resultera i lokal rättighetseskalering.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.0.8-1lenny4.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1:2.0.7-1squeeze3.

För den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era acpid-paket.