Информация по безопасности / 2011 / Информация о безопасности -- DSA-2376-2 ipmitool

Рекомендация Debian по безопасности

DSA-2376-2 ipmitool -- небезопасный PID-файл

Дата сообщения:

30.12.2011

Затронутые пакеты:

ipmitool

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 651917.
В каталоге Mitre CVE: CVE-2011-4339.

Более подробная информация:

Было обнаружено, что OpenIPMI, библиотека и инструменты Intelligent Platform Management Interface, используют слишком широкие права доступа к PID-файлу, что позволяет локальным злоумышленникам завершать произвольные процессы путём выполнения записи в этот файл.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.8.9-2+squeeze1. (Хоть номер версии и содержит строку squeeze, это обновление для выпуска lenny.)

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.8.11-2+squeeze2.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.8.11-5.

Рекомендуется обновить пакеты ipmitool.