Debian Biztonsági Figyelmeztetésben

DLA-2519-1 pacemaker -- LTS biztonsági frissítés

Bejelentés dátuma:
2021. jan. 06.
Érintett csomagok:
pacemaker
Sebezhető:
Igen
Biztonsági adatbázis hivatkozások:
A Mitre CVE szótárában: CVE-2018-16877, CVE-2018-16878, CVE-2020-25654.
Bővebb információ:

Néhány sebezhetőségi probléma kapcsolódik a pacemaker-hez, a klaszter erőforrás menedzserhez.

  • CVE-2018-16877

    AHibát találtal a pacemaker kliens-szerver authentikációjának megvalósításában. A helyi támadó ki tudja használni ezt a hibát, kombinálva más IPC gyengeségekkel, hogy helyi jogosultságokat szerezzen.

  • CVE-2018-16878

    A nem megfelelő ellenőrzés miatt az ellenőrizetlen folyamatok előnyben részesítése a szolgáltatás megtagadásához vezethet.

  • CVE-2020-25654

    ACL megkerülési hibát találtak a peacemaker-ben. A támadó rendelkezik helyi fiókkal a kalszteren és a haclient csoport közvetlen IPC kommunikációt tud használni különféle háttérben futó folyamatokkal, hogy feladatokat hajtson végre, az ACL megakadályozza őket abbban, hogy elvégezzék a konfigurávciót.

A Debian 9 stretch esetén a probléma a 1.1.24-0+deb9u1 verzióban javításra került.

Azt tanácsoljuk, hogy frissítsd a pacemaker csomagjaidat.

A pacemaker csomag biztonság állapotával kapcsolatban lásd a bizonsági nyomkövető oldalát: https://security-tracker.debian.org/tracker/pacemaker

További információk a Debian LTS biztonági figyelmeztetéseiről, hogyan tudod ezeket a frissítéseket a rendszereden telepíteni és más gyakran feltett kérdések megtalálhatóak itt: https://wiki.debian.org/LTS