Säkerhetsinformation / 2011 / Säkerhetsinformation -- DSA-2376-2 ipmitool

Säkerhetsbulletin från Debian

DSA-2376-2 ipmitool -- osäker PID-fil

Rapporterat den:

2011-12-30

Berörda paket:

ipmitool

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 651917.
I Mitres CVE-förteckning: CVE-2011-4339.

Ytterligare information:

Man har upptäckt att OpenIPMI, biblioteket och verktygen Intelligent Platform Management Interface, använde för breda rättigheter i PID-filen, vilket tillåter lokala användare att döda godtyckliga processer genom att skriva till denna fil.

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.8.9-2+squeeze1. (Även om versionsnumret innehåller strängen squeeze, så är det en uppdatering för Lenny.)

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.8.11-2+squeeze2.

För den instabila utgåvan (Sid) har detta problem rättats i version 1.8.11-5.

Vi rekommenderar att ni uppgraderar era ipmitool-paket.