Рекомендация Debian по безопасности

DSA-1828-1 ocsinventory-agent -- небезопасный путь поиска модуля

Дата сообщения:
07.07.2009
Затронутые пакеты:
ocsinventory-agent
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 506416.
В каталоге Mitre CVE: CVE-2009-0667.
Более подробная информация:

Было обнаружено, что ocsinventory-agent, являющийся частью пакета ocsinventory, службы индексации настроек оборудования и программного обеспечения, содержит небезопасный путь поиска моделей Perl. Так как агент запускается через cron, а текущий каталог (в этом случае /) включается в путь модулей Perl по умолчанию, то агент сканирует каждый каталог системы на предмет модулей Perl. Это позволяет злоумышленнику выполнять произвольный код с помощью специально сформированного модуля Perl для ocsinventory-agent в системе.

В предыдущем стабильном выпуске (etch) пакет ocsinventory-agent отсутствует.

В стабильном выпуске (lenny) эта проблема была исправлена в версии 1:0.0.9.2repack1-4lenny1.

В тестируемом выпуске (squeeze) эта проблема была исправлена в версии 1:0.0.9.2repack1-5

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1:0.0.9.2repack1-5.

Рекомендуется обновить пакеты ocsinventory-agent.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.dsc
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1.orig.tar.gz
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/o/ocsinventory-agent/ocsinventory-agent_0.0.9.2repack1-4lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.