Säkerhetsbulletin från Debian

DSA-2254-1 oprofile -- kommandoinjicering

Rapporterat den:
2011-06-03
Berörda paket:
oprofile
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 624212.
I Mitres CVE-förteckning: CVE-2011-1760.
Ytterligare information:

OProfile är ett prestandaprofilerigsverktyg som är konfigurerbart via opcontrol, dess kontrollverktyg. Stephane Chauveau rapporterade flera sätt att injicera godtyckliga kommandon i argumenten för detta verktyg. Om en lokal icke-priveligierad användare auktoriseras genom en sudoers-fil för att köra opcontrol som root, kan denna användare utnyttja denna brist för att öka sina rättigheter.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 0.9.3-2+lenny1.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 0.9.6-1.1+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 0.9.6-1.2.

För den instabila utgåvan (Sid) har detta problem rättats i version 0.9.6-1.2.

Vi rekommenderar att ni uppgraderar era oprofile-paket.