Debians sikkerhedsbulletin

DSA-1828-1 ocsinventory-agent -- usikker modulsøgesti

Rapporteret den:
7. jul 2009
Berørte pakker:
ocsinventory-agent
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 506416.
I Mitres CVE-ordbog: CVE-2009-0667.
Yderligere oplysninger:

Man opdagede at ocsinventory-agent, som er en del af ocsinventory-suiten, en tjeneste til konfigurationsindeksering af hard- og software, var sårbar over for en usikker perl-modulsøgesti. Da agentprogrammet startes via cron og den aktuelle mappe (/ i dette tilfælde) er indeholdt i perls standard-modulsti, gennemsøgte agentprogrammet alle mapper på systemet efter sine perl-moduler. Det gjorde det muligt for en angriber, at udføre vilkårlig kode gennem et fabrikeret perl-modul til ocsinventory-agent, placeret på systemet.

Den gamle stabile distribution (etch) indeholder ikke ocsinventory-agent.

I den stabile distribution (lenny), er dette problem rettet i version 1:0.0.9.2repack1-4lenny1.

I distributionen testing (squeeze), er dette problem rettet i version 1:0.0.9.2repack1-5

I den ustabile distribution (sid), er dette problem rettet i version 1:0.0.9.2repack1-5.

Vi anbefaler at du opgraderer dine ocsinventory-agent-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.dsc
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.