Debians sikkerhedsbulletin

DSA-2254-1 oprofile -- kommandoindsprøjtning

Rapporteret den:
3. jun 2011
Berørte pakker:
oprofile
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 624212.
I Mitres CVE-ordbog: CVE-2011-1760.
Yderligere oplysninger:

OProfile er et værktøj til performance profiling, som er konfigurerbart via opcontrol, dets kontrolværktøj. Stephane Chauveau rapporterede om flere måder, at indsprøjte vilkårlige kommandoer via parametrene til værktøjet. Hvis en lokal bruger uden særlige rettigheder er autoriseret via sudoers-filen til at køre opcontrol som root, kunne denne bruger anvende fejlen til at forøge sine rettigheder.

I den gamle stabile distribution (lenny), er dette problem rettet i version 0.9.3-2+lenny1.

I den stabile distribution (squeeze), er dette problem rettet i version 0.9.6-1.1+squeeze1.

For the distributionen testing (wheezy), er dette problem rettet i version 0.9.6-1.2.

I den ustabile distribution (sid), er dette problem rettet i version 0.9.6-1.2.

Vi anbefaler at du opgraderer dine oprofile-pakker.