Рекомендация Debian по безопасности

DSA-2217-1 dhcp3 -- отсутствие очистки ввода

Дата сообщения:
10.04.2011
Затронутые пакеты:
dhcp3
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2011-0997.
Более подробная информация:

Себастиан Крамер и Мариус Томашеский обнаружили, что dhclient из состава dhcp3, клиента DHCP, неправильно выполняет фильтрацию метасимволов командной оболочки в некоторых опциях ответа сервера DHCP. Эти опции используются заново небезопасным образом в сценариях dhclient. Это позволяет злоумышленнику выполнять произвольные команды с правами указанного процесса путём отправки специально сформированных опций DHCP клиенту, использующему сервер злоумышленника.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 3.1.1-6+lenny5.

В стабильном (squeeze), тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в дополнительном обновлении isc-dhcp.

Рекомендуется обновить пакеты dhcp3.