Säkerhetsbulletin från Debian

DSA-2533-1 pcp -- flera sårbarheter

Rapporterat den:
2012-08-23
Berörda paket:
pcp
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-3418, CVE-2012-3419, CVE-2012-3420, CVE-2012-3421.
Ytterligare information:

Man har upptäckt att Performance Co-Pilot (pcp), ett ramverk för prestandaövervakning, innehåller flera sårbarheter.

  • CVE-2012-3418

    Flera buffertspill i PCP-protkolldekoders kan orsaka PCP-klienter och servrar att krascha eller, potentiellt köra godtycklig kod vid behandling av skapade PDUer.

  • CVE-2012-3419

    linux-PMDAn som används av pmcd-daemonen avslöjar känslig information från /proc-filsystemet till icke autentiserade klienter.

  • CVE-2012-3420

    Flera minnesläckage vid behandling av skapade förfrågningar kan orsaka pmcd att konsumera stora mängder minne och eventuellt krascha.

  • CVE-2012-3421

    Felaktig event-driven programmering tillåter illasinnade klienter att förhindra andra klienter från att få åtkomst till pmcd-daemonen.

För att behandla sårbarheten för utlämnande av information, CVE-2012-3419, har en ny proc-PMDA har introducerats, som inte är aktiverad som standard. Om du behöver åtkomst till denna information, behöver du aktivera proc/-PMDAn.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 3.3.3-squeeze2.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.6.5.

Vi rekommenderar att ni uppgraderar era pcp-paket.