Debians sikkerhedsbulletin
DSA-1828-1 ocsinventory-agent -- usikker modulsøgesti
- Rapporteret den:
- 7. jul 2009
- Berørte pakker:
- ocsinventory-agent
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 506416.
I Mitres CVE-ordbog: CVE-2009-0667. - Yderligere oplysninger:
-
Man opdagede at ocsinventory-agent, som er en del af ocsinventory-suiten, en tjeneste til konfigurationsindeksering af hard- og software, var sårbar over for en usikker perl-modulsøgesti. Da agentprogrammet startes via cron og den aktuelle mappe (/ i dette tilfælde) er indeholdt i perls standard-modulsti, gennemsøgte agentprogrammet alle mapper på systemet efter sine perl-moduler. Det gjorde det muligt for en angriber, at udføre vilkårlig kode gennem et fabrikeret perl-modul til ocsinventory-agent, placeret på systemet.
Den gamle stabile distribution (etch) indeholder ikke ocsinventory-agent.
I den stabile distribution (lenny), er dette problem rettet i version 1:0.0.9.2repack1-4lenny1.
I distributionen testing (squeeze), er dette problem rettet i version 1:0.0.9.2repack1-5
I den ustabile distribution (sid), er dette problem rettet i version 1:0.0.9.2repack1-5.
Vi anbefaler at du opgraderer dine ocsinventory-agent-pakker.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.dsc
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.diff.gz
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.