GLSA 201309-21: klibc: Command Injection
| Опасность: | средняя |
| Заголовок: | klibc: Command Injection |
| Дата: | 26.09.2013 |
| Ошибки: | |
| ID: | 201309-21 |
Сводка
A vulnerability in klibc could allow remote attackers to execute arbitrary shell code.Назначение
klibc is a minimalistic libc used for making an initramfs.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-libs/klibc | < 1.5.25 | >= 1.5.25 | All supported architectures |
Описание
The ipconfig utility in klibc writes DHCP options to /tmp/net-$DEVICE.conf, and this file is later sourced by other scripts to get defined variables. The options written to this file are not properly escaped.
Воздействие
A remote attacker could send a specially crafted DHCP reply, which could execute arbitrary shell code with the privileges of any process which sources DHCP options.
Обход
There is no known workaround at this time.
Решение
All klibc users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=dev-libs/klibc-1.5.25"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.