Säkerhetsbulletin från Debian

DSA-2796-1 torque -- exekvering av skadlig kod

Rapporterat den:
2013-11-13
Berörda paket:
torque
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 729333.
I Mitres CVE-förteckning: CVE-2013-4495.
Ytterligare information:

Matt Ezell från Oak Ridge National Labs rapporterade en sårbarhet i torque, ett PBS-baserat kö-system för batch-behandling.

En användare kunde skicka exekverbara skalkommandon på ändelsen av vad som skickas med -M-alternativet för qsub. Detta skickades senare till en pipe, vilket gjorde det möjligt för dessa kommandon att exekveras som root på pbs_server.

För den gamla stabila utgåvan (Squeeze) har detta problem rättats i version 2.4.8+dfsg-9squeeze3.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.4.16+dfsg-1+deb7u2.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.4.16+dfsg-1.3.

Vi rekommenderar att ni uppgraderar era torque-paket.