Debian セキュリティ勧告
DLA-108-1 nfs-utils -- LTS セキュリティ更新
- 報告日時:
- 2014-12-13
- 影響を受けるパッケージ:
- nfs-utils
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2012-3541.
- 詳細:
-
これまで rpc.statd はカーネルへのダウンコール送信と同一のソケットを使って SM_NOTIFY リクエストを送っていました。リモートホストからの応答を受け取るため、ソケットは INADDR_ANY にバインドしていました。望まないデータの差し込みを回避するため、 このソケットをループバックアドレスにバインドします。
Debian 6
Squeeze
では、この問題は nfs-utils バージョン 1:1.2.2-4squeeze3 で修正されています。