Информация по безопасности / 2017 / Информация о безопасности -- DSA-3871-1 zookeeper

Рекомендация Debian по безопасности

DSA-3871-1 zookeeper -- обновление безопасности

Дата сообщения:

01.06.2017

Затронутые пакеты:

zookeeper

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-5637.

Более подробная информация:

Было обнаружено, что Zookeeper, служба для сопровождения информации о настройках, не ограничивает доступ к вычислительно затратным командам wchp/wchc, что может приводить к отказу в обслуживании из-за повышенного потребления ресурсов ЦП.

Данное обновление по умолчанию отключает данные команды. Для выборочного включения этих команд можно использовать новая опцию настройки 4lw.commands.whitelist (полный набор команд можно восстановить с помощью '*')

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.4.5+dfsg-2+deb8u2.

В нестабильном выпуске (sid) эта проблема будет исправлена позже.

Рекомендуется обновить пакеты zookeeper.