Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2182-1 logwatch

Debians sikkerhedsbulletin

DSA-2182-1 logwatch -- shell-kommando-indsprøjtning

Rapporteret den:

4. mar 2011

Berørte pakker:

logwatch

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 615995.
I Mitres CVE-ordbog: CVE-2011-1018.

Yderligere oplysninger:

Dominik George opdagede at Logwatch ikke sikrede mod shell-metategn i fabrikerede logfilnavne (så som dem, der laves af Samba). Som en følge heraf kunne en angriber måske udføre shell-kommandoer på systemet, som kører Logwatch.

I den gamle stabile distribution (lenny), er dette problem rettet i version 7.3.6.cvs20080702-2lenny1.

I den stabile distribution (squeeze), er dette problem rettet i version 7.3.6.cvs20090906-1squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 7.3.6.cvs20090906-2.

Vi anbefaler at du opgraderer dine logwatch-pakker.