重要な脆弱性情報 CVE ID: CVE-2011-4930, CVE-2011-4930 Bug ID: 759548 脆弱性の種類: 複数のフォーマット文字列の欠陥 製品: Condor コンポーネント: Condor 報告日: 2011-12-02 16:28 UTC ステータス: CLOSED ERRATA 優先度: medium(中) 重大度: medium(中) OS: Linux 担当者: Red Hat Product Security CVE 識別子: CVE-2011-4930, CVE-2011-4930 脆弱性の概要 Condor において、複数のフォーマット文字列の欠陥が見つかりました。 _a)_ 遠隔地の Condor ユーザーが Condor のジョブ送信時に XML メッセージログフォーマットを要求し、かつそのユーザーが ツールを使用して特別に構築されたメッセージをユーザーログファイルに書き込もうとした場合、 デーモンがクラッシュする可能性があります。これにより、 ユーザーの権限で任意のコードを実行できる可能性があります。また、他の Condor ジョブのスケジューリングや実行が妨げられる可能性もあります。 _b)_ 遠隔地の Condor ユーザーが特別に構築された名前のファイルを送信するためのファイル転送を要求すると、 デーモンの子プロセスがクラッシュする可能性があります。このプロセスが繰り返されると、 デーモンがリクエストを処理しようとする際にクラッシュする可能性があります。 保護メカニズムが有効になっていないシステムでは、この欠陥により任意のコードの実行が可能になります。それ以外の場合は、Condor サービスのクラッシュを引き起こします。 影響を受けるバージョン Red Hat Enterprise MRG バージョン 1.3 および 2.0 Fedora リリース 15 および 16 パッチおよび注意喚起 RHSA-2012:0100: RHEL-5 v.2 に関する問題を解決 RHSA-2012:0099: RHEL-6 v.2 に関する問題を解決 補足情報 ここで取り上げられた脆弱性は、すべてのバージョンの Fedora に同梱される パッケージにも影響を与えていました。 この欠陥は、コンパイラの警告問題のいくつかを修正する特定的なパッチ [2] により、アップストリームで修正されていました。 Fedora の全バージョンに影響を与える欠陥は、Bug #787804 として別途追跡されていました。 --- 上記の注意喚起および脆弱性情報は、提供されたスクリーンショットから要約したものです。