Debians sikkerhedsbulletin

DSA-1959-1 ganeti -- manglende fornuftighedskontrol af inddata

Rapporteret den:
19. dec 2009
Berørte pakker:
ganeti
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2009-4261.
Yderligere oplysninger:

Man opdagede at ganeti, et program til håndtering af virtuelle klynger, ikke validerede stien til skripter, der blev overført som parametre til visse kommandoer, hvilket gjorde det muligt for lokale eller fjerne brugere (gennem webgrænsefladen i versionerne 2.x) udføre vilkårlige kommandoer på en værtsmaskine, der fungerer som klyngemaster.

Den gamle stabile distribution (etch) indeholder ikke ganeti.

I den stabile distribution (lenny), er dette problem rettet i version 1.2.6-3+lenny2.

I distributionen testing (squeeze), vil dette problem blive rettet i version 2.0.5-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.0.5-1.

Vi anbefaler at du opgraderer dine ganeti-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.diff.gz
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.