Säkerhetsbulletin från Debian

DSA-1828-1 ocsinventory-agent -- osäker modulsökväg

Rapporterat den:
2009-07-07
Berörda paket:
ocsinventory-agent
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 506416.
I Mitres CVE-förteckning: CVE-2009-0667.
Ytterligare information:

Det upptäcktes att ocsinventory-agent som är en del av ocsinventory-sviten, en indexeringsservice för hård- och mjukvarukonfiguration, är sårbar för en osäker perlmodulsökväg. Eftersom agenten startas via cron, och den aktuella katalogen (/ i detta fall) är inkluderad i standardvalet för perlmodulsökvägar, genomsöker agenten varje katalog i systemet efter sina perl modules. Detta ger en angripare möjlighet att exekvera godtycklig kod via en specialskriven ocsinventory-agent-perlmodul som placerats i systemet.

Den gamla stabila utgåvan (Etch) innehåller inte ocsinventory-agent.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1:0.0.9.2repack1-4lenny1.

För uttestningsutgåvan (Squeeze) har detta problem rättats i version 1:0.0.9.2repack1-5

För den instabila utgåvan (Sid) har detta problem rättats i version 1:0.0.9.2repack1-5.

Vi rekommenderar att ni uppgraderar era ocsinventory-agent-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.dsc
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.