Säkerhetsbulletin från Debian

DSA-3871-1 zookeeper -- säkerhetsuppdatering

Rapporterat den:
2017-06-01
Berörda paket:
zookeeper
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-5637.
Ytterligare information:

Man har upptäckt att Zookeeper, en tjänst för att underhålla konfigurationsinformation, inte begränsar åtkomst till beräkningstunga wchp/wchc-kommandona, vilket kunde resultera i överbelastning genom ökad CPU-konsumption.

Denna uppdatering inaktiverar två kommandon som standard. Det nya konfigurationsalternativet 4lw.commands.whitelist kan användas för att vitlista kommandon selektivt (och den fulla uppsättningen med kommandon kan återställas med '*')

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.4.5+dfsg-2+deb8u2.

För den instabila utgåvan (Sid) kommer detta problem att rättas inom kort.

Vi rekommenderar att ni uppgraderar era zookeeper-paket.