Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3149-1 condor

Bulletin d'alerte Debian

DSA-3149-1 condor -- Mise à jour de sécurité

Date du rapport :

2 février 2015

Paquets concernés :

condor

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 775276.
Dans le dictionnaire CVE du Mitre : CVE-2014-8126.

Plus de précisions :

Florian Weimer, de Red Hat Product Security, a découvert un problème dans condor, un système de gestion de charge de travail distribuée. À l'achèvement d'une tâche, il peut éventuellement le notifier à l'utilisateur en lui envoyant un courriel ; l'invocation de mailx utilisée dans ce processus permet à n'importe quel utilisateur authentifié, ayant le droit de soumettre des tâches, d'exécuter du code arbitraire avec les droits de l'utilisateur condor.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 7.8.2~dfsg.1-1+deb7u3.

Pour la distribution stable à venir (Jessie) et la distribution unstable (Sid), ce problème a été corrigé dans la version 8.2.3~dfsg.1-6.

Nous vous recommandons de mettre à jour vos paquets condor.