Debian セキュリティ勧告

DSA-2503-1 bcfg2 -- シェルコマンドインジェクション

報告日時:

2012-06-28

影響を受けるパッケージ:

bcfg2

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 679272.
Mitre の CVE 辞書: CVE-2012-3366.

詳細:

悪意を持ったクライアントから、Bcfg2 設定管理システムのサーバに、root 権限でのコマンドの実行を仕向けることができるという欠陥が発見されました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.0.1-3+squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.2.2-2 で修正されています。

直ぐに bcfg2 パッケージをアップグレードすることを勧めます。