Bulletin d'alerte Debian
DSA-2254-1 oprofile -- Injection de commande
- Date du rapport :
- 3 juin 2011
- Paquets concernés :
- oprofile
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 624212.
Dans le dictionnaire CVE du Mitre : CVE-2011-1760. - Plus de précisions :
-
OProfile est un outil de profilage de performance configurable avec opcontrol, son utilitaire de contrôle. Stephane Chauveau a signalé plusieurs façons d'injecter des commandes arbitraires dans les arguments de cet utilitaire. Si un utilisateur est autorisé par le fichier sudoers à exécuter opcontrol en tant que superutilisateur, cet utilisateur pourrait utiliser ce défaut pour augmenter ses droits.
Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 0.9.3-2+lenny1.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.9.6-1.1+squeeze1.
Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 0.9.6-1.2.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.9.6-1.2.
Nous vous recommandons de mettre à jour vos paquets oprofile.