Bulletin d'alerte Debian
DSA-3149-1 condor -- Mise à jour de sécurité
- Date du rapport :
- 2 février 2015
- Paquets concernés :
- condor
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 775276.
Dans le dictionnaire CVE du Mitre : CVE-2014-8126. - Plus de précisions :
-
Florian Weimer, de Red Hat Product Security, a découvert un problème dans condor, un système de gestion de charge de travail distribuée. À l'achèvement d'une tâche, il peut éventuellement le notifier à l'utilisateur en lui envoyant un courriel ; l'invocation de mailx utilisée dans ce processus permet à n'importe quel utilisateur authentifié, ayant le droit de soumettre des tâches, d'exécuter du code arbitraire avec les droits de l'utilisateur condor.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.8.2~dfsg.1-1+deb7u3.
Pour la distribution stable à venir (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 8.2.3~dfsg.1-6.
Nous vous recommandons de mettre à jour vos paquets condor.