Debians sikkerhedsbulletin

DSA-2533-1 pcp -- flere sårbarheder

Rapporteret den:
23. aug 2012
Berørte pakker:
pcp
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.
Yderligere oplysninger:

Man opdagede, at Performance Co-Pilot (pcp), et framework til overvågning af performance, indeholdt flere sårbarheder.

  • CVE-2012-3418

    Flere bufferoverløb i PCP-protokoldekoderne kunne medføre at PCP-klienter og -servere gik ned eller, potentielt udførte vilkårlig kode mens fabrikerede PDU'er blev handlet.

  • CVE-2012-3419

    linux-PMDA'en, som anvendes af pmcd-dæmonen, afslørede følsomme oplysninger fra /proc-filsystemet til uautentificerede klienter.

  • CVE-2012-3420

    Flere hukommelseslækager ved behandling af fabrikerede foresoørgsler kunne medføre at pmcd forbrugte store mængder hukommelse og til sidst gik ned.

  • CVE-2012-3421

    Ukorrekt event-drevet programmering gjorde det muligt for ondsindede klienter, at forhindre andre klienter i at tilgå pmcd-dæmonen.

For at løse informationsafsløringssårbarheden, CVE-2012-3419, er en ny proc-PMDA blevet indført, der som standard er deaktiveret. Hvis man har behov for at tilgå disse oplysninger, kan man aktivere proc-PMDA'en.

I den stabile distribution (squeeze), er dette problem rettet i version 3.3.3-squeeze2.

I den ustabile distribution (sid), er dette problem rettet i version 3.6.5.

Vi anbefaler at du opgraderer dine pcp-pakker.