• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2254-2 oprofile -- инъекция команды

Главная Специалистам База уязвимостей DSA-2254-2 oprofile -- инъекция команды

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
oprofile (any) oprofile-gui (any)
Описание
OProfile представляет собой инструмент для профилирования производительности, его можно настраивать с помощью opcontrol,
его собственной утилиты управления. Стефан Шавье сообщил о нескольких способах введения произвольных
команд в аргументы этой утилиты. Если локальный непривелигированный пользователь
включён в файл sudoers для того, чтобы иметь возможность исполнять opcontrol от лица суперпользователя, то этот пользователь может
использовать данную уязвимость для повышения своих привилегий.
В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в
версии 0.9.3-2+lenny1.
В стабильном выпуске (squeeze) эта проблема была исправлена в
версии 0.9.6-1.1+squeeze1.
В тестируемом выпуске (wheezy) эта проблема была исправлена в
версии 0.9.6-1.2.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 0.9.6-1.2.
Рекомендуется обновить пакеты oprofile.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
oprofile - 0.9.6-1.1+squeeze2
oprofile-gui - 0.9.6-1.1+squeeze2
Debian GNU/Linux 5:
noarch:
oprofile - 0.9.3-2+lenny2
oprofile-gui - 0.9.3-2+lenny2
Ссылки
http://www.debian.org/security/dsa-2254/

Источник: CVE
Наименование: CVE-2011-1760
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1760