Информация по безопасности / 2011 / Информация о безопасности -- DSA-2182-1 logwatch

Рекомендация Debian по безопасности

DSA-2182-1 logwatch -- внедрение команды интерпретатора командной строки

Дата сообщения:

04.03.2011

Затронутые пакеты:

logwatch

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 615995.
В каталоге Mitre CVE: CVE-2011-1018.

Более подробная информация:

Доминик Джордж (Dominik George) обнаружил, что Logwatch не даёт защиты от метасимволов интерпретатора командной оболочки в именах лог-файлов (таких как, например, создаются Samba). В результате атакующий может получить возможность выполнить команды интерпретатора командной строки на системе с запущенной утилитой Logwatch.

Для предыдущего стабильного выпуска (lenny) эта проблема была исправлена в версии 7.3.6.cvs20080702-2lenny1.

Для стабильного выпуска (squeeze) эта проблема исправлена в версии 7.3.6.cvs20090906-1squeeze1.

Для тестируемого (wheezy) и нестабильного (sid) выпусков эта проблема была исправлена в версии 7.3.6.cvs20090906-2.

Мы рекомендуем обновить пакеты logwatch.