GLSA 201203-20: Logwatch: Arbitrary code execution

Опасность:	высокая
Заголовок:	Logwatch: Arbitrary code execution
Дата:	28.03.2012
Ошибки:	#356387
ID:	201203-20

Сводка

A vulnerability in Logwatch might allow remote attackers to execute arbitrary code.

Назначение

Logwatch analyzes and reports on system logs.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
sys-apps/logwatch	< 7.4.0	>= 7.4.0	All supported architectures

Описание

logwatch.pl does not properly sanitize log filenames against shell metacharacters before passing them to the "system()" function.

Воздействие

A remote attacker could pass a specially crafted log filename to Logwatch, possibly resulting in execution of arbitrary code with root privileges or a Denial of Service condition.

Обход

There is no known workaround at this time.

Решение

All Logwatch users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=sys-apps/logwatch-7.4.0"
    

Ссылки

• CVE-2011-1018

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201203-20.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.