Рекомендация Debian по безопасности

DSA-2216-1 isc-dhcp -- отсутствие очистки входных данных

Дата сообщения:
10.04.2011
Затронутые пакеты:
isc-dhcp
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 621099.
В каталоге Mitre CVE: CVE-2011-0997.
Более подробная информация:

Себастиан Крамер и Мариуш Томашевски обнаружили, что dhclient из isc-dhcp, клиент DHCP, неправильно фильтрует метасимволы командной оболочки в определённых опциях из ответов DHCP-сервера. Эти опции повторно используются небезопасным образом в сценариях dhclient. Это позволяет злоумышленнику выполнять произвольные команды с правами процесса, отправляя специально сформированные опции DHCP клиенту при помощи специального сервера.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в дополнительном обновлении для dhcp3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 4.1.1-P1-15+squeeze2.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.1.1-P1-16.1.

Рекомендуется обновить пакеты isc-dhcp.