Рекомендация Debian по безопасности
DSA-2182-1 logwatch -- внедрение команды интерпретатора командной строки
- Дата сообщения:
- 04.03.2011
- Затронутые пакеты:
- logwatch
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 615995.
В каталоге Mitre CVE: CVE-2011-1018. - Более подробная информация:
-
Доминик Джордж (Dominik George) обнаружил, что Logwatch не даёт защиты от метасимволов интерпретатора командной оболочки в именах лог-файлов (таких как, например, создаются Samba). В результате атакующий может получить возможность выполнить команды интерпретатора командной строки на системе с запущенной утилитой Logwatch.
Для предыдущего стабильного выпуска (lenny) эта проблема была исправлена в версии 7.3.6.cvs20080702-2lenny1.
Для стабильного выпуска (squeeze) эта проблема исправлена в версии 7.3.6.cvs20090906-1squeeze1.
Для тестируемого (wheezy) и нестабильного (sid) выпусков эта проблема была исправлена в версии 7.3.6.cvs20090906-2.
Мы рекомендуем обновить пакеты logwatch.