Debians sikkerhedsbulletin

DSA-2796-1 torque -- udførelse af vilkårlig kode

Rapporteret den:
13. nov 2013
Berørte pakker:
torque
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 729333.
I Mitres CVE-ordbog: CVE-2013-4495.
Yderligere oplysninger:

Matt Ezell fra Oak Ridge National Labs rapporterede om en sårbarhed i torque, et PBS-afledt batchbehandlings- og køsystem.

En bruger kunne afsende udførbare shell-kommandoer i enden af hvad der blev overført via parameteret -M til qsub. Det blev senere overført til en pip, hvilket gjorde det muligt for disse kommandoer, at blive udført som root på pbs_server.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.4.8+dfsg-9squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 2.4.16+dfsg-1+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 2.4.16+dfsg-1.3.

Vi anbefaler at du opgraderer dine torque-pakker.