Debians sikkerhedsbulletin
DSA-4791-1 pacemaker -- sikkerhedsopdatering
- Rapporteret den:
- 13. nov 2020
- Berørte pakker:
- pacemaker
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 973254.
I Mitres CVE-ordbog: CVE-2020-25654. - Yderligere oplysninger:
-
Ken Gaillot opdagede en sårbarhed i programmet Pacemaker til ressourceadministration af klynger: Hvis ACL'er var opsat for brugere i gruppen
haclient
, kunne ACL-begrænsninger omgås gennem ubegrænset IPC-kommunikation, medførende udførelse af kode med root-rettigheder på tværs af klyngen.Hvis klyngevalgmuligheden
enable-acl
ikke er aktiveret, kan medlemmer af gruppenhaclient
ændre Pacemakers Cluster Information Base, uden begrænsninger, hvilket allerede giver dem disse muligheder, så der er ikke yderligere bloglæggelse ved en sådan opsætning.I den stabile distribution (buster), er dette problem rettet i version 2.0.1-5+deb10u1.
Vi anbefaler at du opgraderer dine pacemaker-pakker.
For detaljeret sikkerhedsstatus vedrørende pacemaker, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/pacemaker