Рекомендация Debian по безопасности

DLA-20-1 munin -- обновление безопасности LTS

Дата сообщения:
07.08.2014
Затронутые пакеты:
munin
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-3512, CVE-2013-6048, CVE-2013-6359.
Более подробная информация:

[ Кристоф Бидль ]

  • munin-node: более безопасная работа с файлом состояний, добавление нового корневого каталога состояний дополнений, владельцем которого является пользователь с идентификатором 0. Теперь каждое дополнение с UID запускается в собственном каталоге состояний дополнения, владельцем которого является этот UID. (Закрывает ошибку #684075), (Закрывает ошибку #679897), закрывает CVE-2012-3512.
  • plugins: использование переменной времени исполнения $ENV{MUNIN_PLUGSTATE}. Все правильно записанные дополнения теперь будут использовать /var/lib/munin-node/plugin-state/$uid/$some_file, сообщайте о дополнениях, которые используют /var/lib/munin/plugin-state/, поскольку это может быть опасно с точки зрения безопасности!
  • Не прерывать сбор данных для ноды из-за вредоносной ноды, исправляет munin#1397, CVE-2013-6048.
  • Проверка имени дополнения multigraph, CVE-2013-6359.

В Debian 6 Squeeze эти проблемы были исправлены в пакете munin версии 1.4.5-3+deb6u1