Рекомендация Debian по безопасности
DSA-1828-1 ocsinventory-agent -- небезопасный путь поиска модуля
- Дата сообщения:
- 07.07.2009
- Затронутые пакеты:
- ocsinventory-agent
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 506416.
В каталоге Mitre CVE: CVE-2009-0667. - Более подробная информация:
-
Было обнаружено, что ocsinventory-agent, являющийся частью пакета ocsinventory, службы индексации настроек оборудования и программного обеспечения, содержит небезопасный путь поиска моделей Perl. Так как агент запускается через cron, а текущий каталог (в этом случае /) включается в путь модулей Perl по умолчанию, то агент сканирует каждый каталог системы на предмет модулей Perl. Это позволяет злоумышленнику выполнять произвольный код с помощью специально сформированного модуля Perl для ocsinventory-agent в системе.
В предыдущем стабильном выпуске (etch) пакет ocsinventory-agent отсутствует.
В стабильном выпуске (lenny) эта проблема была исправлена в версии 1:0.0.9.2repack1-4lenny1.
В тестируемом выпуске (squeeze) эта проблема была исправлена в версии 1:0.0.9.2repack1-5
В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:0.0.9.2repack1-5.
Рекомендуется обновить пакеты ocsinventory-agent.
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.dsc
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.diff.gz
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.
