Debian セキュリティ勧告

DLA-20-1 munin -- LTS セキュリティ更新

報告日時:
2014-08-07
影響を受けるパッケージ:
munin
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-3512, CVE-2013-6048, CVE-2013-6359.
詳細:

[ Christoph Biedl ]

  • CVE-2012-3512: munin-node: プラグイン状態ディレクトリのルートを新しく、uid 0 の所有とすることで状態ファイルの処理の安全性を向上した。 各プラグインは自身のUIDが所有するUIDと同名のプラグイン状態ディレクトリで動作することになります (#684075, #679897)。
  • プラグイン: 実行時に $ENV{MUNIN_PLUGSTATE} を使うようにした。 それにより、適切に書かれたプラグインは全て、これからは /var/lib/munin-node/plugin-state/$uid/$some_file を使うことになります。 /var/lib/munin/plugin-state/ をまだ使っているプラグインがあれば、 セキュリティの危険を引き起こす可能性があるので報告してください!
  • CVE-2013-6048: munin#1397: 悪意のあるノードによってプラグインが実行されているノード全体のデータ収集が停止。
  • CVE-2013-6359: プラグインのサービス名を確認。

Debian 6Squeezeでは、この問題は munin バージョン 1.4.5-3+deb6u1 で修正されています。