Säkerhetsbulletin från Debian

DSA-1959-1 ganeti -- städar inte indata

Rapporterat den:
2009-12-19
Berörda paket:
ganeti
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2009-4261.
Ytterligare information:

Det upptäcktes att ganeti, en klusterhanterare för virtuella servrar, inte validerar sökvägen till skript som anges som argument till vissa kommandon, vilket tillåter lokala användare eller användare utifrån (med hjälp av webbgränssnittet i version 2.x) att exekvera godtyckliga kommandon på en värd som agerar som en klustermästare.

Den gamla stabila utgåvan (Etch) innehåller inte ganeti.

För den stabila utgåvan (Lenny) har detta problem rättats i version 1.2.6-3+lenny2.

För uttestningsutgåvan (Squeeze) kommer detta problem att rättas i version 2.0.5-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.0.5-1.

Vi rekommenderar att ni uppgraderar era ganeti-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.diff.gz
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6.orig.tar.gz
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.