Bulletin d'alerte Debian

DSA-2533-1 pcp -- Plusieurs vulnérabilités

Date du rapport :
23 août 2012
Paquets concernés :
pcp
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.
Plus de précisions :

Performance Co-Pilot (pcp), un environnement pour la surveillance des performances, contient plusieurs vulnérabilités.

  • CVE-2012-3418

    Plusieurs dépassements de tampon dans les décodeurs du protocole PCP peuvent provoquer un plantage des clients et serveurs PCP ou, éventuellement, permettre d'exécuter du code arbitraire en traitant des PDU contrefaits.

  • CVE-2012-3419

    Le PMDA linux utilisé par le démon PMDA pmcd dévoile des renseignements sensibles du système de fichiers /proc aux clients non authentifiés.

  • CVE-2012-3420

    Plusieurs fuites de mémoire lors du traitement de requêtes contrefaites peuvent forcer pmcd à consommer une grande quantité de mémoire et éventuellement planter.

  • CVE-2012-3421

    Une programmation évènementielle incorrecte permet aux clients malveillants d'empêcher les autres clients d'accéder au démon pmcd.

Pour corriger la vulnérabilité de divulgation d'informations CVE-2012-3419, un nouveau PMDA proc a été introduit, désactivé par défaut. Pour pouvoir accéder à ces renseignements, il faut activer le PMDA proc.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 3.3.3-squeeze2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.6.5.

Nous vous recommandons de mettre à jour vos paquets pcp.