Debians sikkerhedsbulletin
DSA-3871-1 zookeeper -- sikkerhedsopdatering
- Rapporteret den:
- 1. jun 2017
- Berørte pakker:
- zookeeper
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-5637.
- Yderligere oplysninger:
-
Man opdagede at Zookeeper, en tjeneste til vedligeholdelse af opsætningsoplysninger, ikke begrænsede adgang til de beregningsmæssigt dyre wchp-/wchc-kommander, hvilket kunne medføre lammelsesangreb gennem forøget CPU-forbrug.
Denne opdatering deaktiverer som standard disse to kommandoer. Den nye opsætningsvalgmulighed
4lw.commands.whitelist
kan anvendes til at hvidliste kommander selektivt (og det komplette sæt af kommandoer kan genskabes med '*').I den stabile distribution (jessie), er dette problem rettet i version 3.4.5+dfsg-2+deb8u2.
I den ustabile distribution (sid), vil dette problem snart blive rettet.
Vi anbefaler at du opgraderer dine zookeeper-pakker.