Рекомендация Debian по безопасности

DSA-2254-1 oprofile -- инъекция команды

Дата сообщения:
03.06.2011
Затронутые пакеты:
oprofile
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 624212.
В каталоге Mitre CVE: CVE-2011-1760.
Более подробная информация:

OProfile представляет собой инструмент для профилирования производительности, его можно настраивать с помощью opcontrol, его собственной утилиты управления. Стефан Шавье сообщил о нескольких способах введения произвольных команд в аргументы этой утилиты. Если локальный непривелигированный пользователь включён в файл sudoers для того, чтобы иметь возможность исполнять opcontrol от лица суперпользователя, то этот пользователь может использовать данную уязвимость для повышения своих привилегий.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 0.9.3-2+lenny1.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.9.6-1.1+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 0.9.6-1.2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.9.6-1.2.

Рекомендуется обновить пакеты oprofile.