Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2796-1 torque

Debians sikkerhedsbulletin

DSA-2796-1 torque -- udførelse af vilkårlig kode

Rapporteret den:

13. nov 2013

Berørte pakker:

torque

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 729333.
I Mitres CVE-ordbog: CVE-2013-4495.

Yderligere oplysninger:

Matt Ezell fra Oak Ridge National Labs rapporterede om en sårbarhed i torque, et PBS-afledt batchbehandlings- og køsystem.

En bruger kunne afsende udførbare shell-kommandoer i enden af hvad der blev overført via parameteret -M til qsub. Det blev senere overført til en pip, hvilket gjorde det muligt for disse kommandoer, at blive udført som root på pbs_server.

I den gamle stabile distribution (squeeze), er dette problem rettet i version 2.4.8+dfsg-9squeeze3.

I den stabile distribution (wheezy), er dette problem rettet i version 2.4.16+dfsg-1+deb7u2.

I den ustabile distribution (sid), er dette problem rettet i version 2.4.16+dfsg-1.3.

Vi anbefaler at du opgraderer dine torque-pakker.