Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2815-1 munin

Säkerhetsbulletin från Debian

DSA-2815-1 munin -- överbelastning

Rapporterat den:

2013-12-09

Berörda paket:

munin

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-6048, CVE-2013-6359.

Ytterligare information:

Christoph Biedl upptäckte två sårbarheter för överbelastningar i munin, ett grafritningsramverk för hela nätverket. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-6048

  Munins modul Munin::Master::Node validerar inte tillräckligt viss data som en nod skickar. En illasinnad nod kan exploatera detta för att driva munin-html-processen till en oändlig loop vilket resulterar i minnesuttömning på muninmastern.

• CVE-2013-6359

  En illasinnad nod, med en insticksmodul aktiverad som använder multigraph som ett namn för en multigraftjänst, kan avbryta datainsamling för hela noden som insticksmodulen kör på.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.0.6-4+deb7u2.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 2.0.18-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.0.18-1.

Vi rekommenderar att ni uppgraderar era munin-paket.