セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2815-1 munin

Debian セキュリティ勧告

DSA-2815-1 munin -- サービス拒否

報告日時:

2013-12-09

影響を受けるパッケージ:

munin

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-6048, CVE-2013-6359.

詳細:

Christoph Biedl さんが munin、ネットワーク全体の視覚化フレームワークにサービス拒否脆弱性を2件発見しました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2013-6048

  munin の Munin::Master::Node モジュールはノードが送る特定のデータを適切に検証していません。 悪意のあるノードがこれを悪用して munin-html プロセスを無限ループに陥らせ、munin マスターのメモリを使い果たす可能性があります。

• CVE-2013-6359

  プラグインを有効化して multigraph サービス名に multigraph を利用している悪意のあるノードが、 プラグインが実行されているノード全体のデータ収集を停止させることが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.0.6-4+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2.0.18-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.0.18-1 で修正されています。

直ちに munin パッケージをアップグレードすることを勧めます。