セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2533-1 pcp

Debian セキュリティ勧告

DSA-2533-1 pcp -- 複数の脆弱性

報告日時:

2012-08-23

影響を受けるパッケージ:

pcp

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.

詳細:

パフォーマンス監視用のフレームワークであるパフォーマンス副操縦士(pcp) にいくつかの脆弱性が見つかりました。

• CVE-2012-3418

  PCP プロトコル復号器の複数のバッファオーバフローのせいで、 細工を施した PDU を処理する途中にPCPクライアントとサーバーを 異常終了させたり潜在的には任意のコードを実行させたりすること が可能です。

• CVE-2012-3419

  pmcd デーモンで使われる linux PMDA は /proc ファイルシス テムから未認証のクライアントに対して機密情報を暴露してしまい ます。

• CVE-2012-3420

  細工を施したリクエストを処理する間に起こる複数のメモリリーク のせいで， pmcd に大量のメモリを消費させ，やがて異常終了させる ことができます。

• CVE-2012-3421

  間違ったイベント駆動型プログラミングのせいで、悪意のあるクラ イアントが他のクライアントが pmcd デーモンと通信しようとする のを妨害することを許してしまっています。

CVE-2012-3419 の機密情報暴露の脆弱性に対応するために，新しい proc PMDA が導入されましたが、初期設定では無効化されています。この情報に アクセスする必要がある場合は，この proc PMDA を有効化しなければな りません。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 3.3.3-squeeze2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 3.6.5 で修正されています。

直ぐに pcp パッケージをアップグレードすることを勧めます。