Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2533-1 pcp

Debians sikkerhedsbulletin

DSA-2533-1 pcp -- flere sårbarheder

Rapporteret den:

23. aug 2012

Berørte pakker:

pcp

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.

Yderligere oplysninger:

Man opdagede, at Performance Co-Pilot (pcp), et framework til overvågning af performance, indeholdt flere sårbarheder.

• CVE-2012-3418

  Flere bufferoverløb i PCP-protokoldekoderne kunne medføre at PCP-klienter og -servere gik ned eller, potentielt udførte vilkårlig kode mens fabrikerede PDU'er blev handlet.

• CVE-2012-3419

  linux-PMDA'en, som anvendes af pmcd-dæmonen, afslørede følsomme oplysninger fra /proc-filsystemet til uautentificerede klienter.

• CVE-2012-3420

  Flere hukommelseslækager ved behandling af fabrikerede foresoørgsler kunne medføre at pmcd forbrugte store mængder hukommelse og til sidst gik ned.

• CVE-2012-3421

  Ukorrekt event-drevet programmering gjorde det muligt for ondsindede klienter, at forhindre andre klienter i at tilgå pmcd-dæmonen.

For at løse informationsafsløringssårbarheden, CVE-2012-3419, er en ny proc-PMDA blevet indført, der som standard er deaktiveret. Hvis man har behov for at tilgå disse oplysninger, kan man aktivere proc-PMDA'en.

I den stabile distribution (squeeze), er dette problem rettet i version 3.3.3-squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 3.6.5.

Vi anbefaler at du opgraderer dine pcp-pakker.