Bulletin d'alerte Debian

DSA-2481-1 arpwatch -- Échec d'abandon de groupes supplémentaires

Date du rapport :
2 juin 2012
Paquets concernés :
arpwatch
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 674715.
Dans le dictionnaire CVE du Mitre : CVE-2012-2653.
Plus de précisions :

Steve Grubb de Red Hat a découvert qu'un correctif pour arpwatch (au moins fourni dans les distributions Red Hat et Debian) permettant de lui faire abandonner les droits du superutilisateur échouait et ajoutait à la place le groupe root dans la liste des groupes du démon.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.1a15-1.1+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.1a15-1.2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1a15-1.2.

Nous vous recommandons de mettre à jour vos paquets arpwatch.