Debians sikkerhedsbulletin

DSA-4791-1 pacemaker -- sikkerhedsopdatering

Rapporteret den:
13. nov 2020
Berørte pakker:
pacemaker
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 973254.
I Mitres CVE-ordbog: CVE-2020-25654.
Yderligere oplysninger:

Ken Gaillot opdagede en sårbarhed i programmet Pacemaker til ressourceadministration af klynger: Hvis ACL'er var opsat for brugere i gruppen haclient, kunne ACL-begrænsninger omgås gennem ubegrænset IPC-kommunikation, medførende udførelse af kode med root-rettigheder på tværs af klyngen.

Hvis klyngevalgmuligheden enable-acl ikke er aktiveret, kan medlemmer af gruppen haclient ændre Pacemakers Cluster Information Base, uden begrænsninger, hvilket allerede giver dem disse muligheder, så der er ikke yderligere bloglæggelse ved en sådan opsætning.

I den stabile distribution (buster), er dette problem rettet i version 2.0.1-5+deb10u1.

Vi anbefaler at du opgraderer dine pacemaker-pakker.

For detaljeret sikkerhedsstatus vedrørende pacemaker, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/pacemaker