Fecha del reporte: 19 de dic de 2009

Paquetes afectados: ganeti

Más información: Ha sido descubierto que ganeti, un gestor de cluster de servidores virtuales, no valida la ruta de scripts pasada como argumento a ciertos comandos, lo que permite a usuarios remotos (vía la interfaz web en versiones 2.x) ejecutar comandos arbitrarios en un host actuando como el dueño del cluster.

Para la distribución estable (lenny), este problema ha sido arreglado en la versión 1.2.6-3+lenny2.

Para la distribución de pruebas (squeeze), este problema será arreglado e la versión 2.0.5-1.

Para la distribución inestable (sid), este problema será arreglado en la versión 2.0.5-1.

La antigua distribución estable (etch) no incluye ganeti.

Le recomendamos actualizar sus paquetes ganeti.

Original (en inglés): http://lists.debian.org/debian-security-announce/2009/msg00281.html