Säkerhetsbulletin från Debian
DSA-1959-1 ganeti -- städar inte indata
- Rapporterat den:
- 2009-12-19
- Berörda paket:
- ganeti
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2009-4261.
- Ytterligare information:
-
Det upptäcktes att ganeti, en klusterhanterare för virtuella servrar, inte validerar sökvägen till skript som anges som argument till vissa kommandon, vilket tillåter lokala användare eller användare utifrån (med hjälp av webbgränssnittet i version 2.x) att exekvera godtyckliga kommandon på en värd som agerar som en klustermästare.
Den gamla stabila utgåvan (Etch) innehåller inte ganeti.
För den stabila utgåvan (Lenny) har detta problem rättats i version 1.2.6-3+lenny2.
För uttestningsutgåvan (Squeeze) kommer detta problem att rättas i version 2.0.5-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.0.5-1.
Vi rekommenderar att ni uppgraderar era ganeti-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.diff.gz
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2.dsc
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6.orig.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/g/ganeti/ganeti_1.2.6-3+lenny2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.