Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2481-1 arpwatch

Bulletin d'alerte Debian

DSA-2481-1 arpwatch -- Échec d'abandon de groupes supplémentaires

Date du rapport :

2 juin 2012

Paquets concernés :

arpwatch

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 674715.
Dans le dictionnaire CVE du Mitre : CVE-2012-2653.

Plus de précisions :

Steve Grubb de Red Hat a découvert qu'un correctif pour arpwatch (au moins fourni dans les distributions Red Hat et Debian) permettant de lui faire abandonner les droits du superutilisateur échouait et ajoutait à la place le groupe root dans la liste des groupes du démon.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.1a15-1.1+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.1a15-1.2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.1a15-1.2.

Nous vous recommandons de mettre à jour vos paquets arpwatch.