Debian セキュリティ勧告

DSA-2815-1 munin -- サービス拒否

報告日時:
2013-12-09
影響を受けるパッケージ:
munin
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-6048, CVE-2013-6359.
詳細:

Christoph Biedl さんが munin、ネットワーク全体の視覚化フレームワークにサービス拒否脆弱性を2件発見しました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-6048

    munin の Munin::Master::Node モジュールはノードが送る特定のデータを適切に検証していません。 悪意のあるノードがこれを悪用して munin-html プロセスを無限ループに陥らせ、munin マスターのメモリを使い果たす可能性があります。

  • CVE-2013-6359

    プラグインを有効化して multigraph サービス名に multigraph を利用している悪意のあるノードが、 プラグインが実行されている全ノードのデータ収集を停止させることが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.0.6-4+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2.0.18-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.0.18-1 で修正されています。

直ちに munin パッケージをアップグレードすることを勧めます。