Paket PCP imao je 4 sigurnosna propusta koja su, između ostalog, omogućavala zlonamjernom korisniku otkrivanje osjetljivih informacija i uskraćivanje usluge.
Paket:
pcp 3.x
Operacijski sustavi:
Fedora 16, Fedora 17
Problem:
neodgovarajuće rukovanje memorijom, pogreška u programskoj funkciji, pogreška u programskoj komponenti, preljev međuspremnika
Problemi se nalaze unutar funkcije libpcp za dekodiranje, komponente pmcd koja odaje zabranjene informacije te se može srušiti i prouzročiti curenje memorije, te unutar funkcije pduread().
Posljedica:
Zlonamjerni korisnik mogao je iskoristiti ranjivosti kako bi onemogućio pristup sustavu legitimnim korisnicima te im uskratio usluge ili pristupio neovlašteno osjetljivim informacijama.
Rješenje:
Objavljena je službena nadogradnja koja se može slobodno preuzeti.
--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2012-12024
2012-08-17 05:21:08
--------------------------------------------------------------------------------
Name : pcp
Product : Fedora 16
Version : 3.6.5
Release : 1.fc16
URL : http://oss.sgi.com/projects/pcp
Summary : System-level performance monitoring and performance management
Description :
Performance Co-Pilot (PCP) provides a framework and services to support
system-level performance monitoring and performance management.
The PCP open source release provides a unifying abstraction for all of
the interesting performance data in a system, and allows client
applications to easily retrieve and process any subset of that data.
--------------------------------------------------------------------------------
Update Information:
Security and bugfix update. Security flaws fixed include CVE-2012-3418
CVE-2012-3419 CVE-2012-3420 and CVE-2012-3421
--------------------------------------------------------------------------------
ChangeLog:
* Thu Aug 16 2012 Mark Goodwin <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.> - 3.6.5-1
- Update to latest PCP sources, see installed CHANGELOG for details.
- Fix security flaws: CVE-2012-3418 CVE-2012-3419 CVE-2012-3420 and
CVE-2012-3421 (BZ 848629)
* Thu Jul 19 2012 Mark Goodwin <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.>
- pmcd and pmlogger services are not supposed to be enabled by default (BZ
840763) - 3.6.3-1.3
* Thu Jun 21 2012 Mark Goodwin <Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.>
- remove pcp-import-sheet2pcp subpackage due to missing deps (BZ 830923) -
3.6.3-1.2
* Fri May 18 2012 Dan HorÄ
Posljednje sigurnosne preporuke