Информация по безопасности / 2011 / Информация о безопасности -- DSA-2216-1 isc-dhcp

Рекомендация Debian по безопасности

DSA-2216-1 isc-dhcp -- отсутствие очистки входных данных

Дата сообщения:

10.04.2011

Затронутые пакеты:

isc-dhcp

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 621099.
В каталоге Mitre CVE: CVE-2011-0997.

Более подробная информация:

Себастиан Крамер и Мариуш Томашевски обнаружили, что dhclient из isc-dhcp, клиент DHCP, неправильно фильтрует метасимволы командной оболочки в определённых опциях из ответов DHCP-сервера. Эти опции повторно используются небезопасным образом в сценариях dhclient. Это позволяет злоумышленнику выполнять произвольные команды с правами процесса, отправляя специально сформированные опции DHCP клиенту при помощи специального сервера.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в дополнительном обновлении для dhcp3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 4.1.1-P1-15+squeeze2.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.1.1-P1-16.1.

Рекомендуется обновить пакеты isc-dhcp.