Рекомендация Debian по безопасности

DSA-2182-1 logwatch -- внедрение команды интерпретатора командной строки

Дата сообщения:
04.03.2011
Затронутые пакеты:
logwatch
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 615995.
В каталоге Mitre CVE: CVE-2011-1018.
Более подробная информация:

Доминик Джордж (Dominik George) обнаружил, что Logwatch не даёт защиты от метасимволов интерпретатора командной оболочки в именах лог-файлов (таких как, например, создаются Samba). В результате атакующий может получить возможность выполнить команды интерпретатора командной строки на системе с запущенной утилитой Logwatch.

Для предыдущего стабильного выпуска (lenny) эта проблема была исправлена в версии 7.3.6.cvs20080702-2lenny1.

Для стабильного выпуска (squeeze) эта проблема исправлена в версии 7.3.6.cvs20090906-1squeeze1.

Для тестируемого (wheezy) и нестабильного (sid) выпусков эта проблема была исправлена в версии 7.3.6.cvs20090906-2.

Мы рекомендуем обновить пакеты logwatch.