Debian セキュリティ勧告

DSA-2254-1 oprofile -- コマンドインジェクション

報告日時:
2011-06-03
影響を受けるパッケージ:
oprofile
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 624212.
Mitre の CVE 辞書: CVE-2011-1760.
詳細:

OProfile は、制御ユーティリティ opcontrol で設定可能なパフォーマンス プロファイリングツールです。 Stephane Chauveau さんにより、このユーテ ィリティを用いて引数からコマンドを注入する複数の方法が報告されました。 ローカルの非特権ユーザが、apcontrol を root で動かせるように sudoers ファイルで設定されている場合、この欠陥により特権の昇格が可能です。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 0.9.3-2+lenny1 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 0.9.6-1.1+squeeze1 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン 0.9.6-1.2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 0.9.6-1.2 で修正されています。

直ぐに oprofile パッケージをアップグレードすることを勧めます。