Debians sikkerhedsbulletin
DSA-1959-1 ganeti -- manglende fornuftighedskontrol af inddata
- Rapporteret den:
- 19. dec 2009
- Berørte pakker:
- ganeti
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2009-4261.
- Yderligere oplysninger:
-
Man opdagede at ganeti, et program til håndtering af virtuelle klynger, ikke validerede stien til skripter, der blev overført som parametre til visse kommandoer, hvilket gjorde det muligt for lokale eller fjerne brugere (gennem webgrænsefladen i versionerne 2.x) udføre vilkårlige kommandoer på en værtsmaskine, der fungerer som klyngemaster.
Den gamle stabile distribution (etch) indeholder ikke ganeti.
I den stabile distribution (lenny), er dette problem rettet i version 1.2.6-3+lenny2.
I distributionen testing (squeeze), vil dette problem blive rettet i version 2.0.5-1.
I den ustabile distribution (sid), er dette problem rettet i version 2.0.5-1.
Vi anbefaler at du opgraderer dine ganeti-pakker.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.dsc
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6.orig.tar.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.