Bulletin d'alerte Debian

DSA-1828-1 ocsinventory-agent -- Chemin de recherche de module non sécurisé

Date du rapport :
7 juillet 2009
Paquets concernés :
ocsinventory-agent
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 506416.
Dans le dictionnaire CVE du Mitre : CVE-2009-0667.
Plus de précisions :

ocsinventory-agent, qui fait partie de la suite ocsinventory, un service d'indexation de configuration matérielle et logicielle, est prédisposé à un chemin de recherche de module perl non sécurisé. Quand l'agent est démarré avec cron et quand le répertoire courant (/ dans ce cas) est inclus dans le chemin de module perl par défaut, l'agent scanne chaque répertoire du système à la recherche de ses modules perl. Cela permet à un attaquant d'exécuter du code arbitraire à l'aide d'un module perl pour ocsinventory-agent contrefait et placé sur le système.

La distribution oldstable (Etch) ne contient pas ocsinventory-agent.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 1:0.0.9.2repack1-4lenny1.

Pour la distribution testing (Squeeze), ce problème a été corrigé dans la version 1:0.0.9.2repack1-5

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1:0.0.9.2repack1-5.

Nous vous recommandons de mettre à jour vos paquets ocsinventory-agent.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.dsc
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.