Рекомендация Debian по безопасности

DSA-2533-1 pcp -- несколько уязвимостей

Дата сообщения:
23.08.2012
Затронутые пакеты:
pcp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.
Более подробная информация:

Было обнаружено, что Performance Co-Pilot (pcp), инфраструктура для отслеживания производительности, содержит несколько уязвимостей.

  • CVE-2012-3418

    Многочисленные переполнения буфера в декодерах протокола PCP могут вызывать аварийные остановки в клиентах и серверах PCP или потенциально приводить к выполнению произвольного кода в ходе обработки специально сформированных PDU.

  • CVE-2012-3419

    PMDA linux, используемый службой pmcd, раскрывает чувствительную информацию из файловой системы /proc неаутентифицироыванным клиентам.

  • CVE-2012-3420

    Многочисленные утечки памяти при обработке специально сформированных запросов могут приводить к тому, что pmcd потребляет большие объёмы памяти и аварийно завершает свою работу.

  • CVE-2012-3421

    Некорректное событийно-ориентированное программирование позволяет злоумышленникам мешать другим клиентам получать доступ к службе pmcd.

Чтобы исправить уязвимость, состоящую в раскрытии информации, CVE-2012-3419, был добавлен новый PMDA для proc, который по умолчанию отключен. Если вам требуется доступ к этой информации, то вам следует включить PMDA для proc.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 3.3.3-squeeze2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 3.6.5.

Рекомендуется обновить пакеты pcp.