Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2533-1 pcp

Bulletin d'alerte Debian

DSA-2533-1 pcp -- Plusieurs vulnérabilités

Date du rapport :

23 août 2012

Paquets concernés :

pcp

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.

Plus de précisions :

Performance Co-Pilot (pcp), un environnement pour la surveillance des performances, contient plusieurs vulnérabilités.

• CVE-2012-3418

  Plusieurs dépassements de tampon dans les décodeurs du protocole PCP peuvent provoquer un plantage des clients et serveurs PCP ou, éventuellement, permettre d'exécuter du code arbitraire en traitant des PDU contrefaits.

• CVE-2012-3419

  Le PMDA linux utilisé par le démon PMDA pmcd dévoile des renseignements sensibles du système de fichiers /proc aux clients non authentifiés.

• CVE-2012-3420

  Plusieurs fuites de mémoire lors du traitement de requêtes contrefaites peuvent forcer pmcd à consommer une grande quantité de mémoire et éventuellement planter.

• CVE-2012-3421

  Une programmation évènementielle incorrecte permet aux clients malveillants d'empêcher les autres clients d'accéder au démon pmcd.

Pour corriger la vulnérabilité de divulgation d'informations CVE-2012-3419, un nouveau PMDA proc a été introduit, désactivé par défaut. Pour pouvoir accéder à ces renseignements, il faut activer le PMDA proc.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.3.3-squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.6.5.

Nous vous recommandons de mettre à jour vos paquets pcp.