セキュリティ情報 / 2017 / セキュリティ情報 -- DSA-3871-1 zookeeper

Debian セキュリティ勧告

DSA-3871-1 zookeeper -- セキュリティの更新

報告日時:

2017-06-01

影響を受けるパッケージ:

zookeeper

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2017-5637.

詳細:

設定情報を保守するためのサービスである Zookeeper で、計算コストが高い wchp / wchc コマンドへのアクセスを制限していないため、CPU 消費の増加に よりサービス拒否につながる可能性があることがわかりました。

今回の更新では、デフォルトで wchp / wchc コマンドが無効になります。 新しい設定オプション 4lw.commands.whitelistを使用すると、コマンドを 選択して、ホワイトリストに登録できます (コマンドの完全なセットは '*' で元に戻せます)。

安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 3.4.5+dfsg-2+deb8u2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに zookeeper パッケージをアップグレードすることを勧めます。