Bulletin d'alerte Debian

DSA-2254-1 oprofile -- Injection de commande

Date du rapport :
3 juin 2011
Paquets concernés :
oprofile
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 624212.
Dans le dictionnaire CVE du Mitre : CVE-2011-1760.
Plus de précisions :

OProfile est un outil de profilage de performance configurable avec opcontrol, son utilitaire de contrôle. Stephane Chauveau a signalé plusieurs façons d'injecter des commandes arbitraires dans les arguments de cet utilitaire. Si un utilisateur est autorisé par le fichier sudoers à exécuter opcontrol en tant que superutilisateur, cet utilisateur pourrait utiliser ce défaut pour augmenter ses droits.

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.9.3-2+lenny1.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.6-1.1+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.6-1.2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.6-1.2.

Nous vous recommandons de mettre à jour vos paquets oprofile.