Bulletin d'alerte Debian

DSA-2796-1 torque -- Exécution de code arbitraire

Date du rapport :
13 novembre 2013
Paquets concernés :
torque
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 729333.
Dans le dictionnaire CVE du Mitre : CVE-2013-4495.
Plus de précisions :

Matt Ezell de Oak Ridge National Labs a signalé une vulnérabilité dans TORQUE, un système de file d'attente de traitement par lots dérivé de PBS.

Un utilisateur pouvait soumettre des commandes exécutables d’interpréteur à la fin de ce qui est passé avec l’option -M de qsub. Ces commandes étaient ensuite passées dans un tube, permettant leur exécution sur le pbs_server avec les droits du superutilisateur.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 2.4.8+dfsg-9squeeze3.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.4.16+dfsg-1+deb7u2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.4.16+dfsg-1.3.

Nous vous recommandons de mettre à jour vos paquets torque.