Bulletin d'alerte Debian

DSA-2503-1 bcfg2 -- Injection de commande d'interpréteur

Date du rapport :
28 juin 2012
Paquets concernés :
bcfg2
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 679272.
Dans le dictionnaire CVE du Mitre : CVE-2012-3366.
Plus de précisions :

Des clients malveillants peuvent piéger le composant serveur du système de gestion de configuration Bcfg2 pour exécuter des commandes avec les droits du superutilisateur.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.0.1-3+squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.2.2-2.

Nous vous recommandons de mettre à jour vos paquets bcfg2.