Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-4023-1 slurm-llnl

Debians sikkerhedsbulletin

DSA-4023-1 slurm-llnl -- sikkerhedsopdatering

Rapporteret den:

7. nov 2017

Berørte pakker:

slurm-llnl

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 880530.
I Mitres CVE-ordbog: CVE-2017-15566.

Yderligere oplysninger:

Ryan Day opdagede at Simple Linux Utility for Resource Management (SLURM), et system til administrering af klyngeressourcer og jobplanlægning, ikke på korrekt vis håndterede SPANK-miljøvariabler, hvilket gjorde det muligt for en bruger med tilladelse til at indsende jobs, at udføre kode som root under Prolog'en eller Epilog'en. Alle systemer som anvender et Prolog- eller Epilog-skript var sårbare, uanset om der anvendes SPANK-plugins eller ej.

I den stabile distribution (stretch), er dette problem rettet i version 16.05.9-1+deb9u1.

I den ustabile distribution (sid), er dette problem rettet i version 17.02.9-1.

Vi anbefaler at du opgraderer dine slurm-llnl-pakker.